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出 版 说 明 一 


21 世纪 是 信息 时 代 , 信 息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 ,企业 经 营 和 人 们 的 日 常生 活 。 随 着 
信息 安全 产业 的 快速 发 展 ,全 球 对 信息 安全 人 才 的 需求 量 不 断 增加 ,但 我 国 
目前 信息 安全 人 才 极 度 匮乏 , 远 远 不 能 满足 金融 商业、 公安 .军事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设立 信息 安全 本 科 专 业 , 而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 
学 科 点 。 

信息 安全 是 计算 机 、 通 信物 理 、 数 学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培养 模式 和 课程 设置 ,各 高 校 普遍 缺乏 经 验 ,因此 中 国 计 算 机 学 会 教 
育 专业 委员 会 和 清华 大 学 出 版 社 联合 主办 了 “信息 安全 专业 教育 教学 研讨 
会 "等 一 系列 研讨 活动 ,并 成 立 了 “高 等 院 校 信息 安全 专业 系列 教材 "编审 委员 
会 ,由 我 国信 息 安全 领域 著名 专家 肖 国 镇 教授 担任 编 委 会 主任 ,指导 “高 等 院 校 
信息 安全 专业 系列 教材 ”的 编写 工作 。 编 委 会 本 着 研究 先行 的 指导 原则 ,认真 
研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 ,进行 了 大 量具 有 前 
脆性 的 研究 工作 ,而且 这 种 研究 工作 将 随 着 我 国信 息 安全 专业 的 发 展 不 断 深 
人。 系列 教材 的 作者 都 是 既 在 本 专业 领域 有 深厚 的 学 术 造 诈 , 又 在 教学 第 一 线 
有 丰富 的 教学 经 验 的 学 者 ,专家 。 

该 系列 教材 是 我 国 第 一 套 专门 针对 信息 安全 专业 的 教材 ,其 特点 是 : 

体系 完整 ,结构 合理 .内容 先进 。 

@ 适应 面 广 : 能 够 满足 信息 安全 、 计 算 机 、 通 信 工 程 等 相关 专业 对 信息 
安全 领域 课程 的 教材 要 求 。 

@ 立体 配套 : 除 主教 材 外 ,还 配 有 多 媒体 电子 教案 .习题 与 实验 指导 等 。 

@ 版 本 更 新 及 时 , 紧 跟 科学 技术 的 新 发 展 。 

在 全 力 做 好 本 版 教材 ,满足 学 生 用 书 的 基础 上 ,还 经 由 专家 的 推荐 和 审 
定 , 遵 选 了 一 批 国 外 信息 安全 领域 优秀 的 教材 加 入 系列 教材 中 ,以 进一步 满 
足 大 家 对 外 版 书 的 需求 。“ 高 等 院 校 信 息 安全 专业 系列 教材 "已 于 2006 年 年 
初 正式 列 和 普通 高 等 教育 “十 一 五 ”国家 级 教材 规划 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 成 立 大 会 
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暨 第 一 次 会 议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委 
员 会 主任 单位 北京 工业 大 学 和 北京 电子 科技 学 院 主 办 ,清华 大 学 出 版 社 协办 。 教 育 部 高 
等 学 校 信息 安全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安全 专业 的 发 展 起 到 重要 的 指 
导 和 推动 作用 。2006 年 教育 部 给 武汉 大 学 下 达 了 “信息 安全 专业 指导 性 专业 规范 研制 ” 
的 教学 科研 项 目 。2007 年 起 该 项 目 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 
组 织 实施 。 在 高 教 司 和 教 指 委 的 指导 下 ,项 目 组 团结 一 致 ,努力 工作 ,克服 困难 ,历时 5 
年 ,制定 出 我 国 第 一 个 信息 安全 专业 指导 性 专业 规范 ,于 2012 年 年 底 通 过 经 教育 部 高 等 
教育 司 理工 科教 育 处 授权 组 织 的 专家 组 评审 ,并 且 已 经 得 到 武汉 大 学 等 许多 高 校 的 实际 
使 用 。2013 年 ,新 一 届 教 育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 成 立 。 经 组 织 审 查 
和 研究 决定 ,2014 年 以 教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 的 名 义 正式 发 布 
《高 等 学 校 信息 安全 专业 指导 性 专业 规范 》( 由 清华 大 学 出 版 社 正式 出 版 ) 。 

2015 年 6 月 ,国务院 学 位 委员 会 教育 部 出 台 增 设 “ 网 络 空 间 安全 ”为 一 级 学 科 的 决 
定 , 将 高 校 培养 网 络 空间 安全 人 才 提 到 新 的 高 度 。2016 年 6 月 ,中 央 网 络 安全 和 信息 化 
领导 小 组 办 公 室 (下 文 简称 中 央 网 信 办 ) 、 国 家 发 展 和 改革 委员 会 .教育 部 .科学 技术 部 、 工 
业 和 信息 化 部 及 人 力 资源 和 社会 保障 部 六 大 部 门 联合 发 布 (关于 加 强 网 络 安全 学 科 建 设 
和 人 才 培 养 的 意见 兴 中 网 办 发 文 C2016]4 号 )。2019 年 6 月 ,教育 部 高 等 学 校 网 络 空间 安 
全 专业 教学 指导 委员 会 召开 成 立 大 会 。 为 贯彻 落实 (关于 加 强 网 络 安全 学 科 建 设 和 人 才 
培养 的 意见 》 进 一 步 深化 高 等 教育 教学 改革 ,促进 网 络 安全 学 科 专 业 建设 和 人 才 培 养 , 促 
进 网 络 空间 安全 相关 核心 课程 和 教材 建设 ,在 教育 部 高 等 学 校 网 络 空间 安全 专业 教学 指 
导 委 员 会 和 中 央 网 信 办 资助 的 网 络 空 间 安全 教材 建设 课题 组 的 指导 下 ,启动 了 “网 络 空 间 
安全 重点 规划 丛书 ”的 工作 ,由 教育 部 高 等 学 校 网 络 空间 安全 专业 教学 指导 委员 会 秘书 长 
封 化 民 校长 担任 编 委 会 主任 。 本 规划 丛书 基于 “高 等 院 校 信息 安全 专业 系列 教材 "坚实 的 
工作 基础 和 成 果 阵容 强大 的 编审 委员 会 和 优秀 的 作者 队伍 ,目前 已 经 有 多 本 图 书 获得 教 
育 部 和 中 央 网 信 办 等 机 构 评选 的 “普通 高 等 教育 本 科 国 家 级 规划 教材 “普通 高 等 教育 精 
品 教材 “中 国 大 学 出 版 社 图 书 奖 ”" 和 “国家 网 络 安 全 优秀 教材 奖 ” 等 多 个 奖项 。 

“网 络 空间 安全 重点 规划 丛书” 将 根据 (高 等 学 校 信息 安全 专业 指导 性 专业 规范 》( 及 
后 续 版 本 ) 和 相关 教材 建设 课题 组 的 研究 成 果 不 断 更 新 和 扩展 ,进一步 体现 科学 性 、 系 统 
性 和 新 颖 性 ,及 时 反映 教学 改革 和 课程 建设 的 新 成 果 ,并 随 着 我 国 网 络 空间 安全 学 科 的 发 
展 不 断 完善 ,力争 为 我 国 网 络 空间 安全 相关 学 科 专业 的 本 科 和 研究 生 教 材 建设 .学 术 出 版 
与 人 才 培 养 做 出 更 大 的 贡献 。 

我 们 的 E-mail 地 址 是 : zhangm@tup. tsinghua. edu. cn ,联系 人 : 张 民 。 


“网 络 空间 安全 重点 规划 丛书 ”编审 委员 会 


没有 网 络 安全 ,就 没有 国家 安全 ;没有 网 络 安全 人 才 ,就 没有 网 络 安全 。 

为 了 更 多 ,更 快 , 更 好 地 培养 网 络 安全 人 才 , 如 今 ,许多 学 校 都 在 加 大 投 
和 ,聘请 优秀 教师 ,招收 优秀 学 生 ,建设 一 流 的 网 络 空间 安全 专业 。 

网 络 空间 安全 专业 建设 需要 体系 化 的 培养 方案 .系统 化 的 专业 教材 和 专 
业 化 的 师资 队伍 。 优 秀 教材 是 网 络 空间 安全 专业 人 才 的 关键 。 但 是 ,这 却 是 
一 项 十 分 艰巨 的 任务 。 原 因 有 二 : 其 一 ,网 络 空间 安全 的 涉及 面 非常 广 ,至 
少 包括 密码 学 ,数学 计算机、 通信 工程 等 多 门 学 科 , 因 此 ,其 知识 体系 庞大 、 
难以 梳理 ;其 二 ,网 络 空间 安全 的 实践 性 很 强 , 技 术 发 展 更 新 非常 快 ,对 环境 
和 师资 的 要 求 也 很 高 。 

《防火 墙 技术 及 应 用 实验 指导 ?是 “防火 墙 技术 及 应 用 ”课程 的 配套 实验 
指导 教材 。 通 过 实践 教学 ,理解 和 掌握 防火 墙 的 基本 配置 .网 络 管理 .基本 应 
用 和 高 级 应 用 ,从 而 培养 学 生 对 防火 墙 设备 的 部 署 .应 用 和 日 常 运 维 能 力 。 

全 书 分 为 5 章 。 第 1 章 介 绍 防火 墙 基本 配置 ;第 2 章 介 绍 防火 墙 网 络 部 
署 ;第 3 章 介 绍 防火 墙 基本 应 用 ;第 4 章 介绍 防火 墙 高 级 应 用 ;第 5 章 介绍 防 
火 墙 复杂 场景 实践 。 本 书 的 实验 环节 设计 均 基 于 下 一 代 防 火 墙 设备 功能 特 
性 设计 ,但 可 以 通过 对 书 中 实验 案例 的 学 习 , 借 鉴 到 其 他 防火 墙 产 品 的 部 署 
和 实验 中 。 

本 书 适合 网 络 空间 安全 、 信 息 安全 等 相关 专业 作为 教材 和 参考 资料 。 随 
着 新 技术 的 不 断 发 展 ,今后 将 不 断 更 新 图 书 内 容 。 

本 书 编写 过 程 中 得 到 奇 安信 集团 的 熊 瑛 \ 王 起 立 \ 王 斌 、 林 静 , 任 涛 、 裴 知 
勇 、. 翟 胜 军 和 北京 邮电 大 学 雷 敏 等 专家 学 者 的 鼎力 支持 ,在 此 对 他 们 的 工作 
表示 衷心 的 感谢 ! 

由 于 作者 水 平 有 限 , 书 中 难免 存在 朴 漏 和 不 妥 之 处 ,欢迎 读者 批评 指正 。 


作 者 
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防火 墙 基本 配置 


防火 墙 是 指 设置 在 不 同 网 络 ( 如 可 信任 的 企业 内 部 网 和 不 可 信 的 公共 网 ) 或 网 络 安全 
区 域 之 间 的 一 系列 部 件 的 组 合 。 本 书 中 的 防火 墙 是 指 硬件 防火 墙 产 品 , 不 是 基于 云 的 虚 
拟 化 防火 墙 服务 。 

任何 一 个 单位 在 购置 防火 墙 设备 时 ,都 需要 先 完成 防火 墙 开局 的 基本 管理 和 基本 网 
络 配置 后 才能 使 用 防火 墙 的 各 种 应 用 功能 。 本 章 主要 完成 防火 墙 的 基本 管理 和 基本 网 络 
配置 实验 。 

防火 墙 的 基本 管理 第 一 步 就 是 登录 防火 墙 ,防火 墙 登录 成 功 后 可 在 防火 墙 中 添加 防 
火 墙 管理 员 ,添加 防火 墙 管理 员 后 才 可 以 完成 防火 墙 的 基本 管理 ;防火 墙 的 基本 管理 完成 
后 需要 对 防火 墙 进行 基本 的 网 络 配置 ,包括 防火 墙 的 DHCP 设置 .防火 墙 的 DHCP 中 继 
配置 、 防 火 墙 的 ARP 设置 .防火 墙 的 IP-MAC 地 址 绑 定 和 防火 墙 的 DNS 设置 ,完成 防火 
墙 基本 的 网 络 配置 以 后 才 可 以 使 用 防火 墙 。 


1.1 ”防火 墙 开局 基本 配置 


本 节 的 主要 任务 是 通过 对 一 台新 购 防 火 墙 的 初始 化 配置 ,掌握 防火 墙 开 局 的 基本 登 
录 和 管理 思路 ,快速 完成 防火 墙 设备 的 初始 工作 。 

【实验 目的 】 

管理 员 通 过 配置 防火 墙 的 基础 设 定 , 如 设备 名 称 、 时 间 、DNS 等 ,实现 对 防火 墙 设备 
的 便捷 管理 以 及 为 防火 墙 的 其 他 功能 提供 辅助 。 


【知识 点 】 
HTTP、HTTPS、Telnet、SSH、CONSOLE、 基 础 设 定 。 


【场景 描述 】 

A 公司 购置 了 一 人 台 防 火 墙 设备 ,安全 运 维 工程 师 查 看 产品 说 明 书 ,确认 防火 墙 平 台 
的 默认 登录 方式 为 HTTPS 方 式 , 并 以 HTTPS 的 方式 成 功 登 录 防 火 墙 平台 ,完成 基础 项 
的 设 定 ,请 思考 有 哪些 基础 设 定 ,应 怎样 根据 实际 情况 设置 这 些 基 础 项 。 


【实验 原理 】 
防火 墙 产 品 出 厂 时 默认 仅 可 以 使 用 HTTPS 的 方式 登录 管理 防火 墙 。HTTPS 协 
议 是 相对 安全 的 网 络 协议 ,可 一 定 程度 防止 数据 在 传输 过 程 中 不 被 窃取 改变 ,从 而 确 
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保 数据 的 完整 性 。 为 了 能 够 使 用 户 更 方便 地 登录 并 管理 防火 墙 , 用 户 可 以 先 以 HT- 
TPS 的 方式 登录 防火 墙 平 台 后 ,在 防火 墙 平台 内 部 通过 修改 配置 将 登录 管理 方式 扩展 
为 HTTP(CHyperText Transfer Protocol, 超 文本 传输 协议 )、HTTPS、CONSOLE、 Telnet 
(远程 终端 协议 ) 和 SSH(Secure Shell, 安 全 外 壳 协 议 ) ,最 终 实现 以 多 种 方式 登录 防火 
墙 平 台 。 

防火 墙 管理 员 能 够 根据 实际 情况 及 需要 设置 设备 的 名 称 \DNS, 实 现 对 防火 墙 设备 
的 便捷 管理 以 及 为 防火 墙 的 其 他 功能 提供 辅助 。 

【实验 设备 】 

。 安全 设备 : 防火 墙 设备 1 台 。 

。 主机 终端 : Windows XP 主机 1 台 , Windows Server 2003 SP1 主机 1 台 ,Windows 7 

主机 1 台 。 


【实验 拓扑 】 
实验 拓扑 如 图 1-1 所 示 。 


上 ge1:10.0.0.1 © ge3 吕 


管理 机 :10.0.0.44/24 外 Web 服 务 器 :172.16.3.100/24 
(以 实际 人 PP 地址 为 准 ) 0 
上 局] 


PC:192.16.2.100/24 
图 1-1 防火 墙 基本 配置 实验 拓扑 


【实验 思路 】 

(1) 修改 设备 名 称 。 

(2) 设 定时 间 。 

(3) 配置 防火 墙 DNS。 

(4) PC 访问 Web 服务 器 网 站 。 


【实验 要 点 】 
一 般 情况 下 ,防火 墙 系统 出 厂 设置 有 默认 的 设备 管理 地 址 和 授权 管理 终端 地 址 ,不同 
品 参见 相关 产品 手册 。 下 一 代 防 火 墙 有 相关 的 设备 默认 管理 地 址 和 管理 主机 的 要 求 ， 
需要 参考 产品 手册 。 
【实验 步骤 】 
(1) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 防火 墙 产品 的 他 地 址 “https: //10. 0.0.1” 
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(以 实际 设备 IP 地 址 为 准 ), 进 入 防火 墙 的 登录 界面 。 输入 管理 员 用 户 名 admin 和 密码 
“11fw@2soc#3vpn”, 登 录 防 火 墙 ,如 图 1-2 所 示 。 


新 一 代 智 慧 防火 墙 


图 1-2 防火 墙 登录 界面 


(2) 为 提高 防火 墙 系统 的 安全 性 ,如 果 用 户 用 默认 密码 登录 防火 墙 ,防火 墙 会 提示 用 
户 修改 初始 密码 ,本 实验 在 这 里 单 击 “ 取 消 ” 按 钮 ,如 图 1-3 所 示 。 


管理 员 密码 是 初始 密码 ， 请 修改 
IBE 码 | 
新 密码 | *10-127 字 符 
好 但 全 字母 数字 特 天 符号 
确认 密码 | 


图 1-3 初始 密码 修改 


(3) 登录 防火 墙 设备 后 ,会 显示 防火 墙 的 面板 界面 ,如 图 1-4 所 示 。 

(4) 单 击 面板 上 方 导航 栏 中 的 “网 络 配置 ”, 单 击 ge2 右 侧 “操作 ”中 的 笔 形 标志 ,编辑 
ge2 接口 ,如 图 1-5 所 示 。 

(5) 本 实验 中 ,ge2 接口 模拟 连接 公司 内 部 网 络 中 的 一 台 计 算 机 ,因此 将 ge2 口 IP 设 
置 为 "192. 16. 2. 1”, 掩 码 为 “255. 255. 255. 0”, 安 全 域 为 trust, 后 续 步 骤 按 照 此 要 求 进行 
调整 。 在 “编辑 物理 接口 "界面 中 ,“ 工 作 模式 ”选中 “路 由 模式 " 单 选 按钮 , 单 击 本 地 地 址 列 
表 中 的 IPv4 标签 列表 中 的 “十 添加 ”按钮 。 如 果 已 有 IP 地 址 的 设置 , 则 单 击 IP 地 址 右 侧 
“操作 ”的 笔 形 标志 , 视 具 体 情况 决定 ,其 他 保持 默认 配置 ,如 图 1-6 所 示 。 

(6) 在 “添加 IPv4 本 地 地 址 ”界面 中 ,输入 本 实验 设 定 的 IP 地 址 “192. 16. 2. 1”, 该 地 
址 用 于 与 实验 虚拟 机 通信 使 用 .输入 子 网 掩 码 为 “255. 255. 255. 0”, 类 型 默认 为 float, 如 
图 1-7 所 示 。 
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图 1-5 编辑 ge2 接口 


(0-127)1 字 符 


图 1-6 编辑 ge2 接口 参数 
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图 1-7 编辑 ge2 接口 IP 地 址 参数 


(7) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 ,再 单 击 “ 确 定 ” 按 钮 ,关闭 “编辑 物理 
接口 "界面 。 

(8) 在 本 实验 中 ge3 接口 用 于 模拟 连接 Web 服务 器 ,因此 将 ge3 接口 IP 设置 为 
“172. 16. 3. 1”, 掩 码 “255. 255. 255. 0”, 安 全 域 为 untrust, 后 续 步骤 按照 此 要 求 进行 调整 。 
在 “编辑 物理 接口 "界面 中 , “工作 模式 "选中 “路 由 模式 ” 单 选 按钮 , 单 击 本 地 地 址 列表 中 的 
IPv4 标签 列表 中 的 “十 添加 ”按钮 。 如 果 已 有 IP 地 址 设置 , 则 单 击 IP 地 址 右 侧 “操作 ”的 
笔 形 标志 , 视 具 体 情况 决定 ,其 他 保持 默认 配置 ,如 图 1-8 所 示 。 


编辑 哲理 接口 回 
KN 
MACt 址 [0016:3T.e1:a80e 恢复 默 认 
虞 MACI8 址 [00000010:0300 
(0-L27) 人 地 符 
安全 域 【untrust -| 
工作 模式 昌 吕 由 机 口交 党 模 口 完 串 模 
式 式 式 
HA 组 [0 加 
本 地 地 址 7 表 


图 1-8 编辑 ge3 接口 参数 


(9) 在 “添加 IPv4 本 地 地 址 ”界面 中 ,输入 本 实验 设 定 的 IP 地 址 “172. 16. 3. 1”, 该 地 
址 用 于 与 Web 服务 器 通信 使 用 ,输入 子 网 掩 码 为 *255. 255. 255. 0”, 类 型 默认 为 float, 如 
图 1-9 所 示 。 


172.16.3.1 
255.255.255.0 


float 
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(10) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 .确定 接口 的 相关 信息 准确 无 误 后 ， 
再 单 击 “ 确 定 ” 按 钮 ,返回 “接口 "界面 ,查看 ge2、ge3 接口 信息 ,如 图 1-10 所 示 。 
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图 1-10 查看 ge2 .ge3 接口 信息 


(11) 单 击 面板 上 方 导航 栏 中 的 “策略 配置 ”, 单 击 左 侧 的 “安全 策略 ”。 在 “安全 策略 ” 
界面 中 , 单 击 “ 十 添加 ”按钮 ,添加 安全 策略 ,如 图 1-11 所 示 。 
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图 1-11 添加 安全 策略 


(12) 在 “添加 安全 策略 ”界面 中 ,在 “名 称 ” 中 输入 “全 通 策略 ”, 其 他 保持 默认 配置 ,如 
图 1-12 所 示 。 


添 Jn 安 全 第 略 
名 称 区 双 -63 淳 黎 上 
拉 述 | ]@0-127 字 和 
启用 回 
动作 ”图 允许 O 〇 并 把 口 安全 (2 阁 
源 安全 域 。 | 请 远 择 源 安全 域 
目的 安全 域 。 | 请 选择 目的 安全 域 
源 用 户 | 请 选择 源 用 户 
源 地 址 /地 区 【请示 笃 或 给 入 源 地 址 /地 区 
目的 地 址 /地 区 | 请 于 笃 或 输入 目的 地 址 /地 区 
服务 | 请 运 泽 服务 
应 用 请 寺 笃 应 用 或 应 用 组 
来 自 磋 道 。 | 请 过 笃 峙 道 
时 间 ”| 请 远 笃 时 间 
VIAN | 请 BAVIAN ES 于 四 
TK ETT YE 
确定 ][ 了 


图 1-12 编辑 安全 策略 
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(13) 单 击 面板 上 导航 栏 中 的 “系统 配置 ,在 “设备 名 称 ” 中 将 设备 名 称 修改 为 “下 一 
代 防 火 墙 ”, 单 击 “ 确 定 ” 按 钮 ,如 图 1-13 所 示 。 


面板 分 析 中 心 数据 中 心 处 置 中 心 策略 配置 对 象 配置 


设 定 集中 管理 云 配置 云 租户 
设备 名 称 © 
= en 


图 1-13 修改 设备 名 称 
(14) 在 “时 间 ” 界 面 中 单 击 “与 本 机 同步 ”, 单 击 “ 确 定 ” 按 钮 ,如 图 1-14 所 示 。 


系统 时 间 | 2017-11-22 13:41:14 GMT+E 驴 本 机 同 寺 
时 间 2017-11-22 13:39:47 
时 区 GMT+8 bd 
WE ] ( mw ] 


图 1-14 将 设备 时 间 与 系统 时 间 同 步 


(15) 在 DNS 界面 中 的 “首选 DNS 服务 器 "中 输入 "114. 114. 114. 114”,“ 备 选 DNS 
服务 器 ”中 输入 “8. 8. 8. 8”, 如 图 1-15 所 示 。 


DNS 回 


首选 DNS 服务 器 。 | 114.114.114.114 
备 选 DNS 服务 器 8.8.88 
备 选 DNS 服务 器 


确定 ] [取消 ] 


图 1-15 设置 DNS 


【实验 预期 】 
(1) 在 防火 墙 主 界面 可 见 修改 后 的 名 称 、 时 间 、DNS。 
(2) PC 成 功 访问 Web 服务 器 网 站 。 


【实验 结果 】 

1) 查看 设备 名 称 、 时 间 和 DNS 

在 学 生机 中 打开 浏览 器 ,在 地 址 栏 中 输入 防火 墙 产 品 的 IP 地 址 https: //10. 0. 0. 1 
(以 实际 设备 IP 地 址 为 准 ), 进 入 防火 墙 的 登录 界面 。 输 入 管理 员 用 户 名 admin 和 密码 
“11fw@2soc# 3vpn”, 登 录 防 火 墙 。 单 击 面 板 上 方 导航 栏 中 的 “系统 配置 ”, 在 界面 中 可 
见 “ 设 备 名 称 ”“ 时 间 ” 和 “DNS” 已 经 设置 成 功 ,如 图 1-16 所 示 。 
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图 1-16 “系统 设置 "界面 


2) PC 成 功 访问 Web 服务 器 网 站 
(1) 登录 实验 拓扑 下 方 的 “192. 16. 2. 100”, 进 入 虚拟 机 PC, 如 图 1-17 所 示 。 


上 gel:10.0.0.1 @) ge3 上 J 


管理 机 :10.0.0.44/24 
(以 实际 IP 地 址 为 准 ) 


Web 服 务 器 :172.16.3.100/24 


PC:192.16.2.100/24 
1-17 登录 实验 拓扑 下 方 PC 


(2) 在 虚拟 机 中 ,双击 桌面 的 "Mozilla FireFox”, 在 地 址 栏 中 输入 “172. 16. 3. 100”， 
按 Enter 键 ,成 功 访问 Web 服务 器 网 站 ,如 图 1-18 所 示 。 


【实验 思考 】 

(1) 怎样 将 DNS 服务 器 设置 为 *172. 16. 3. 100”? 

(2) 为 什么 默认 的 直 连 登录 方式 是 CONSOLE 而 不 是 Telnet 或 SSH? 
(3) 为 什么 限制 管理 地 址 能 较 好 地 提高 系统 的 安全 管理 性 ? 


me 第] 章 防火 墙 基本 配置 Eee 


最 新 下 载 简历 谁 下 载 了 我 的 简历 ?马上 登录 查看 。 “本 周 热点 职位 


图 1-18 成 功 访问 Web 服务 器 网 站 


13 ”局 域 网 常见 基本 网 络 设置 


对 于 防火 墙 产 品 的 网 络 部 署 , 在 中 小 规模 的 局 域 网 中 一 般 是 完成 客户 端 网 络 的 接 入 
控制 和 终端 接 入 的 控制 ,保证 局 域 网 用 户 可 以 通过 防火 墙 正 常 上 网 ,并 进行 有 效 的 控制 。 
常见 的 局 域 网 基本 网 络 设置 包括 防火 墙 DHCP 设置 和 防火 墙 IP-MAC 绑 定 。 


1.2.1 防火 墙 DHCP 设置 实验 


【实验 目的 】 
管理 员 通 过 开启 防火 墙 的 DHCP 服务 为 接 入 的 客户 端 动态 分 配 IP 地 址 。 


【知识 点 】 
DHCP, 


【场景 描述 】 
在 局 域 网 环境 ,安全 运 维 工程 师 收 到 员工 反馈 ,办 公 计 算 机 配置 了 IP 地 址 之 后 无 法 
上 网 ,同时 公司 的 一 台 FTP 服务 器 也 无 法 访问 ,安全 运 维 工程 师 检查 发 现 这 个 员工 的 办 
公 计 算 机 IP 地 址 与 FTP 服务 器 的 IP 地 址 冲突 了 。 安 全 运 维 工程 师 发 现 ,现在 的 办 公 环 
境 中 ,员工 上 网 都 是 通过 手动 配置 IP 地 址 来 实现 的 ,这 样 的 问题 经 常 出 现 ,请 思考 应 如 何 
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通过 配置 防火 墙 解决 这 个 问题 。 


【实验 原理 】 

动态 主机 配置 协议 (Dynamic Host Configuration Protocol,DHCP) 是 一 个 局 域 网 的 
网 络 协议 。DHCP 指 的 是 由 服务 器 控制 一 段 IP 地 址 ,客户 机 开机 时 就 可 以 自动 获得 服务 
器 分 配 的 IP 地 址 和 子 网 掩 码 。DHCP 通常 用 于 局 域 网 环境 ,主要 作用 是 集中 管理 和 分 配 
IP 地 址 ,计算 机 终端 能 动态 获取 IP 地 址 、 网 关 地 址 和 DNS 服务 器 地 址 等 信息 ,并 能 够 提 
升 地 址 的 使 用 率 。DHCP 服务 器 的 主要 作用 是 为 网 络 客户 机 分 配 动 态 的 IP 地 址 。 被 分 
配 的 IP 地 址 都 是 DHCP 服务 器 预先 保留 的 一 个 由 多 地 址 组 成 的 地 址 集 。 


【实验 设备 】 
。 安全 设备 : 防火 墙 设备 1 台 。 
。 主机 终端 : Windows XP SP3 主机 1 台 ,Windows 7 主机 1 台 。 


【实验 拓扑 】 
实验 拓扑 如 图 1-19 所 示 。 


让 gel :10.0.0.1 四 ge2 :172.16.2.1 呈 
= NGFW EC 


管理 机 :10.0.0.44/24 ee 
图 1-19 防火 墙 DHCP 设置 实验 拓扑 


【实验 思路 】 

(1) 配置 防火 墙 接口 IP 地 址 。 

(2) 配置 DHCP 服务 并 开启 DHCP 服务 。 
(3) 查看 虚拟 机 PC 是 否 被 分 配 IP 地 址 。 


【实验 要 点 】 

理解 局 域 网 DHCP 协议 的 工作 原理 。 下 一 代 防 火 墙 支持 全 面 的 DHCP 功能 ,可 以 
作为 DHCP 服务 器 ,为 接 人 的 客户 端 动态 分 配 IP 地 址 。 同 时 在 分 配 地 址 时 ,支持 为 固定 
的 MAC 地 址 分 配 固定 的 IP 地 址 。 单 击 * 网 络 配置 ”~DHCP-~DHCP, 启 用 DHCP 服 
务 ,并 添加 DHCP 地 址 池 ,以 实现 自动 为 内 网 主机 分 配 IP 地 址 。 


【实验 步 又】 

(1) 一 (3) 登 录 并 管理 防火 墙 ,检查 防火 墙 的 工作 状态 。 

(4) 单 击 面板 上 方 导航 栏 中 的 “网 络 配置 ”, 单 击 ge2 右 侧 “操作 ”中 的 笔 形 标志 ,编辑 
ge2 接口 。 

(5) 本 实验 中 ge2 接口 模拟 连接 公司 内 部 网 络 中 的 一 台 计 算 机 ,因此 将 ge2 口 IP 设 
置 为 “172. 16. 2. 1”, 掩 码 设置 为 “255. 255. 255. 0”, 安 全 域 设置 为 trust, 后 续 步 骤 按 照 此 
要 求 进行 调整 。 在 “编辑 物理 接口 ?界面 中 ,工作 模式 ?选中 “路 由 模式 ”* 单 选 按钮 , 单 击 本 
地 地 址 列表 中 的 IPv4 标签 列表 中 的 “十 添加 ”按钮 。 如 果 已 有 IP 地 址 的 设置 , 则 单 击 IP 
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地 址 右 侧 * 操 作 ” 的 笔 形 标志 , 视 具体 情况 决定 。 其 他 保持 默认 配置 。 
(6) 在 “添加 IPv4 本 地 地 址 "界面 中 ,输入 本 实验 设 定 的 IP 地 址 *172. 16. 2.1”, 该 地 
址 用 于 与 实验 虚拟 机 通信 使 用 ,输入 子 网 拖 码 为 mr 


加 
“255. 255. 255. 0”, 类 型 默认 为 float, 如 图 1-20 本 地 地 址 [172162 
所 示 子 网 掩 码 [255.255.255.0 
i 类 [float | 
(7) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 ” 界 
面 ,再 单 击 “ 确 定 ” 按 钮 ,关闭 “编辑 物理 接口 " 界 EE 


面 。 单 击 面板 上 方 的 “网 络 配置 ”, 单 击 左 侧 的 。 图 1-20 编辑 ge2 接口 IP 地 址 参数 
DHCP 一 DHCP, 在 DHCP 界面 中 , 勾 选 “启用 

DHCP 服务 " 复 选 框 ,在 弹出 的 确认 界面 中 单 击 “ 确 认 ” 按 钮 ,在 弹出 的 提示 界面 中 单 击 
“确定 ”按钮 ,再 单 击 “ 十 添加 ”按钮 ,添加 DHCP 策略 。 其 他 保持 默认 配置 ,如 图 1-21 
所 示 。 


面板 分 析 中 心 数据 中 心 处 置 中 心 策略 配置 对 象 配置 网 络 配置 


回 sn DHCP 


图 em Dw ] (C mw ] | 回 kaoncnes 
口 网 络 地 址 网 络 掩 码 


网 关 地 址 | DNS 


8 DHcp ~ 
pHcP 
DHCP 中 继 


ER ARp 


KH 4 | 第 | | 页 共 1 页 | 》 MM | 每 页 呈 示 条 数 | 20 


图 1-21 添加 DHCP 策略 


(8) 在 “编辑 DHCP” 界 面 中 ,设置 “网 络 地 址 ”为 “172. 16. 2. 0”,“ 网 络 掩 码 ” 为 “255. 
255. 255. 0”,“ 网 关 地 址 ?为 “172. 16. 2. 1”,DNS1 为 “8. 8. 8. 8”, “地址 池 列 表 ” 为 “172. 16. 
2.11 至 172. 16. 2. 40”, 其 他 保持 默认 配置 ,如 图 1-22 所 示 。 


【实验 预期 】 
防火 墙 会 为 虚拟 机 PC 分 配 IP 地 址 。 
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EA | 
网 络 地 址 “| 172.16.2.0 * 
网 络 撞 码 | 255.255.255.0 


基本 酝 百 地 址 绑 定 高 级 配置 租约 信息 


网 关 地 址 [172.16.2.1 
DNS1 [8888 
DNS2 
DNS3 
续 租 时 间 | 43200 | (300-43200 秒 ) 
搞 述 |(0-127 守 ;9 


地 址 池 列 表 | 172.16.2.11-172.16.2.40 


01-8 硕 ) 
0 : 12.1.1.10-12.1.1.20 


EE 


图 1-22 编辑 DHCP 界面 


【实验 结果 】 
(1) 登录 实验 平台 对 应 实验 拓扑 中 右 侧 的 虚拟 机 PC, 进 入 实验 虚拟 机 PC, 如 图 1-23 


所 示 。 
gel :10.0.0.1 加 


eo NGFW | EA 
管理 机 :10.0.0.44/24 PC 


图 1-23 登录 右 侧 虚拟 机 


ge2 :172.16.2.1 


(2) 在 虚拟 机 PC 中 , 单 击 “ 开 始 ” 一 “命令 提示 符 ”, 输 入 命令 ipconfig, 可 看 到 本 机 被 
分 配 的 IP 地 址 是 “172. 16. 2. 11”, 说 明 防 火 墙 成 功 为 虚拟 机 分 配 了 IP 地 址 ,如 图 1-24 
所 示 。 


图 1-24 命令 提示 符 界面 


设 
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(3) 右 击 虚拟 机 PC 右 下 角 计算 机 图 标 , 选 择 “ 打 开 网 络 连 接 ”, 如 图 1-25 所 示 。 


~ 


图 1-25 打开 网 络 连 接 


(4) 在 弹出 的 窗口 中 双击 “本 地 连接 ”。 在 “本 地 连接 状态 ”界面 中 单 击 “ 支 持 ” 标 签 
页 ,可 见 本 机 IP 地 址 由 DHCP 指派 ,如 图 1-26 所 示 。 


图 1-26 “本 地 连接 状态 "界面 


【实验 思考 】 

(1) 怎样 设置 ,能 让 PC 被 随机 分 配 到 的 地 址 为 “172. 16. 2. 100” 至 “172. 16. 2. 200”? 
(2) 怎样 将 网 关 地 址 设 为 “172. 16. 2. 254”? 

(3) 如 果 在 局 域 网 中 有 独立 的 DHCP 服务 器 ,防火 墙 是 否 支 持 客户 端 从 DHCP 服务 
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器 获取 IP 地 址 ? 
(4) 防火 墙 的 DHCP 中 继 安 全 策略 是 否 设置 其 他 管控 选项 ? 
(5) 如 何 完成 防火 墙 的 配置 和 备份 ? 


1.2.2 ”防火墙 IP-MAC 绑 定 实验 


【实验 目的 】 
管理 员 可 以 通过 防火 墙 地 址 绑 定 功能 有 效 防止 IP 欺骗 和 IP 地 址 盗用 。 


【知识 点 】 
地 址 绑 定 .安全 策略 ,动态 ARP、 静 态 ARP、MAC 地 址 。 


【场景 描述 】 

公司 安全 运 维 工程 师 发 现 有 一 个 内 网 IP 地 址 不 断 地 向 A 公司 内 网 服务 器 发 起 请 
求 , 后 经 分 析 是 有 恶意 攻击 者 将 主机 IP 地 址 伪装 成 内 网 IP 地 址 ,对 内 网 服务 器 攻击 , 安 
全 运 维 工 程 师 须 通过 防火 墙 配置 避免 IP 地 址 欺骗 的 事件 发 生 。 请 思考 应 如 何 通过 配置 
防火 墙 来 实现 这 一 需求 。 

【实验 原理 】 

ARP(Address Resolution Protocol) , 即 地 址 解析 协议 ,是 根据 IP 地 址 获得 物理 地 址 
(Media Access Control,MAC) 的 一 个 TCP/IP 协议 。 防 火 墙 的 静态 ARP 是 用 户 手动 添 
加 的 IP 与 MAC 地 址 对 应 关系 , 防火 墙 支持 手动 基于 安全 域 的 IP-MAC 绑 定 , 也 支持 用 
户 将 IP-MAC 探测 中 探测 到 的 IP-MAC 对 应 关系 进行 直接 绑 定 ,同时 也 可 以 从 邻居 表 中 
将 学 习 到 的 IPv6 邻居 及 MAC 地 址 对 应 关系 进行 直接 绑 定 。 


【实验 设备 】 

。 安全 设备 : 防火 墙 设备 1 台 。 

。 主机 终端 : Windows 7 主机 3 台 ,Windows Server 2003 SP1 主机 1 台 。 
【实验 拓扑 】 

实验 拓扑 如 图 1-27 所 示 。 


gel :10.0.0.1 ge4 :182.16.4.1 


管理 机 :10.0.0.44/24 Web 服 务 器 :182.16.4.100/24 
(以 实际 JP 地址 为 准 ) 
| ge3 :172.16.3.1 ge2 :172.16.2.1 
二 
PC2 :172.16.3.100/24 PC1 :172.16.2.100/24 


图 1-27 ”防火墙 IP-MAC 绑 定 实验 拓扑 
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【实验 思路 】 

(1) 设置 防火 墙 接口 安全 域 。 

(2) 配置 IP-MAC 绑 定 的 相关 策略 。 
(3) PC 访问 指定 网 址 。 


【实验 要 点 】 

理解 ARP 和 IP-MAC 地 址 绑 定 的 工作 原理 。 下 一 代 防 火 墙 管理 员 可 以 依次 单 击 
“网 络 配置 ”>“ARP” 一 “静态 ARP" 手 动 添加 ;防火 墙 的 动态 ARP 是 防火 墙 动态 学 习 到 
的 。 管 理 员 可 单 击 “策略 配置 "~*IP-MAC 绑 定 ”, 添 加 绑 定 策略 ,使 防火 墙根 据 收 到 报 文 
的 接口 及 报 文 的 源 IP 地 址 匹配 IP-MAC 绑 定 策略 ,如 果 接 口 所 属 安全 域 和 源 IP 都 匹配 
IP-MAC 策略 , 则 比较 MAC 地 址 是 否 一 致 ,一 致 则 放行 ,不 一 致 则 阻 断 。 


【实验 步骤 】 

(1) 一 (3) 登 录 并 管理 防火 墙 ,检查 防火 墙 的 工作 状态 。 

(4) 单 击 面板 上 方 导航 栏 中 的 “网 络 配置 ”, 单 击 ge2 右 侧 “操作 ”中 的 笔 形 标志 ,编辑 
ge2 接口 。 

(5) 本 实验 中 ge2 接口 模拟 连接 公司 内 部 网 络 中 的 一 台 计算 机 ,因此 将 ge2 口 IP 设 
置 为 "172. 16. 2. 1”, 掩 码 为 “255. 255. 255. 0”, 安 全 域 为 trust, 后 续 步 骤 按 照 此 要 求 进行 
调整 。 在 “编辑 物理 接口 "界面 中 ,将 “工作 模式 ” 设 定 为 “路 由 模式 ”, 单 击 本 地 地 址 列表 中 
的 IPv4 标签 列表 中 的 “十 添加 ”按钮 。 如 果 已 有 IP 地 址 的 设置 , 则 单 击 IP 地 址 右 侧 “ 操 
作 ” 的 笔 形 标 志 , 视 具体 情况 决定 。 其 他 保持 默认 配置 。 

(6) 在 “添加 IPv4 本 地 地 址 ?界面 中 ,输入 本 实验 设 定 的 IP 地 址 “172. 16. 2. 1”, 该 地 
址 用 于 与 实验 PC1 通信 使 用 ,输入 子 网 掩 码 为 “255. 255. 255. 0”, 类 型 默认 为 float, 如 
图 1-28 所 示 。 


图 1-28 编辑 ge2 接口 IP 地 址 参数 


(7) 单 击 “确定 ”按钮 ,返回 “编辑 物理 接口 ?界面 ,再 单 击 “ 确 定 ” 按 钮 ,关闭 “编辑 物理 
接口 ?界面 。 单 击 ge3 右 侧 “操作 ”中 的 笔 形 标志 ,编辑 ge3 接口 。 本 实验 中 ,ge3 接口 模 
拟 连接 公司 内 部 网 络 中 的 一 台 计 算 机 ,因此 将 ge3 口 IP 设置 为 "172. 16. 3. 1”, 掩 码 为 
“255. 255. 255. 0”, 安 全 域 为 trust, 后 续 步 又 按照 此 要 求 进行 调整 。 在 “编辑 物理 接口 ? 界 
面 中 ,“ 工 作 模 式 ” 选 中 “路 由 模式 " 单 选 按钮 , 单 击 本 地 地 址 列表 中 的 IPv4 标签 列表 中 的 
“十 添加 ”按钮 。 如 果 已 有 IP 地 址 的 设置 , 则 单 击 IP 地 址 右 侧 “操作 ”的 笔 形 标 志 , 视 具体 
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情况 决定 ,其 他 保持 默认 配置 。 

(8) 在 “添加 IPv4 本 地 地 址 ”界面 中 ,输入 本 实验 设 定 的 IP 地 址 “172. 16. 3. 1”, 该 地 
址 用 于 与 实验 PC2 通信 使 用 ,输入 子 网 掩 码 为 “255. 255. 255. 0”, 类 型 默认 为 float, 如 
图 1-29 所 示 。 


1721631 


255.255255.0| 


float 


图 1-29 编辑 ge3 接口 IP 地 址 参数 


(9) 单 击 “确定 ”按钮 ,返回 “编辑 物理 接口 ?界面 ,再 单 击 “ 确 定 "按钮 ,关闭 “编辑 物理 
接口 ?界面 。 单 击 ge4 右 侧 * 操 作 ” 中 的 笔 形 标志 ,编辑 ge4 接口 。 本 实验 中 ,ge4 接口 模 
拟 连 接 外 部 网 络 中 的 一 台 服 务 器 ,因此 将 ge4 口 IP 设置 为 "182. 16. 4.1”, 掩 码 为 “255. 
255. 255.0”, 安 全 域 为 untrust, 后 续 步 又 按照 此 要 求 进 行 调整 。 在 “编辑 物理 接口 ?界面 
中 ,“ 工 作 模式 ”选中 “路 由 模式 ” 单 选 按钮 , 单 击 本 地 地 址 列表 中 的 IPv4 标签 列表 中 的 
“十 添加 ”按钮 。 如 果 已 有 IP 地 址 的 设置 , 则 单 击 IP 地 址 右 侧 "操作 ”的 笔 形 标 志 , 视 具体 
情况 决定 ,其 他 保持 默认 配置 。 

(10) 在 “添加 IPv4 本 地 地 址 ?界面 中 ,输入 本 实验 设 定 的 IP 地 址 “182. 16. 4. 1”, 该 
地 址 用 于 与 CMS 服务 器 通信 使 用 ,输入 子 网 掩 码 为 "255. 255. 255. 0”, 类 型 默认 为 float， 
如 图 1-30 所 示 。 


图 1-30 ”编辑 ge4 接口 IP 地 址 参数 


(11) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 ,再 单 击 “确定 ”按钮 ,关闭 “编辑 物 
理 接 口 ”界面 。 单 击 面板 上 方 导航 栏 中 的 “策略 配置 ”, 单 击 左 侧 的 “安全 策略 ”。 在 “安全 
策略 ”界面 中 , 单 击 “ 十 添加 ”按钮 ,添加 安全 策略 ,如 图 1-31 所 示 。 

(12) 在 “添加 安全 策略 ”界面 中 ,输入 “名 称 ”为 “IP-MAC 绑 定 ”, 设 置 “ 源 安全 域 ?为 
trust,“ 目 的 安全 域 ” 为 untrust, 如 图 1-32 所 示 。 

(13) 单 击 “ 确 定 ” 按 钮 ,关闭 “添加 安全 策略 ”界面 。 单 击 左 侧 的 IP-MAC 绑 定 ”, 选 
择 “ 探 测 ”。 在 “探测 ”界面 中 , 单 击 ge2 右 侧 “操作 ” 列 的 “开始 探测 "图标, 如 图 1-33 所 示 。 
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图 1-31 添加 安全 策略 


Ip-MACS 十 1063 宁 彻 
(0-127 字 夭 ) 


图 1-32 设置 安全 策略 


(14) 在 他 设 定 界面 中 ,输入 “起 始 IP” 为 “172. 16. 2. 2”,“ 结 束 IP” 为 “172., 16. 2. 255”, 如 
图 1-34 所 示 。 

(15) 单 击 “ 确 定 ” 按 钮 ,返回 “探测 "界面 ,开始 探测 。 当 “探测 进度 ”为 100% 时 ,探测 
完成 ,如 图 1-35 所 示 。 

(16) 选择 左 侧 的 “探测 结果 ”。 在 “探测 结果 ”界面 中 ,发 现 了 一 条 记录 , 勾 选 ge2 复 
选 框 , 单 击 * 批 量 绑 定 ?按钮 ,在 弹出 的 确认 窗口 中 单 击 * 确 定 ? 按 钮 , 绑 定 此 IP 和 MAC, 如 
图 1-36 所 示 。 
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图 1-35 ”探测 完成 


(17) 选择 左 侧 的 “ 绑 定 列表 ”。 在 * 绑 定 列表 ”界面 中 ,发 现 一 条 已 绑 定 好 的 记录 ,这 
条 记录 将 PC1 的 IP 和 MAC 绑 定 起 来 ,如 图 1-37 所 示 。 

(18) 选择 左 侧 的 “未 绑 定 策略 ”, 在 “未 绑 定 策略 ?界面 中 , 单 击 “ 十 添加 ”按钮 ,添加 未 
绑 定 策略 ,如 图 1-38 所 示 。 

(19) 在 “添加 未 绑 定 策略 ?界面 中 ,设置 “安全 域 ? 为 trust,“ 行 为 ”选中 “拒绝 ” 单 选 按 
钮 ,“IP 类 型 "选中 “IPv4" 单 选 按钮 ,如 图 1-39 所 示 。 

(20) 单 击 “ 确 定 ” 按 钮 ,关闭 “添加 未 绑 定 策略 "界面 。 配 置 完成 ,此 时 安全 域 trust 中 
PC1 绑 定 了 IP 和 MAC,PC2 没有 绑 定 IP 和 MAC。 
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【实验 预期 】 
PC1 可 以 访问 CMS 服务 器 搭建 的 网 站 ,而 PC2 无 法 访问 。 
【实验 结果 】 


(1) 进入 实验 平台 对 应 的 实验 拓扑 , 单 击 下 方 的 计算 机 ,进入 PC1, 如 图 1-40 所 示 。 
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图 1-39 设置 未 绑 定 策略 


gel :10.0.0.1 ge4 :182.16.4.1 m= 
Es 2 a 


管理 机 :10.0.0.44/24 Web 服 务 器 :182.16.4.100/24 
(以 实际 JP 地 址 为 准 ) 


国 国 ge3 :172.16.3.1 ge2 :172.16.2.1 [| 


PC2 :172.16.3.100/24 PC1 :172.16.2.100/24 
图 1-40 打开 实验 机 


(2) 在 PC1 中 , 单 击 “ 开 始 ” 一 “命令 提示 符 ”, 在 “命令 提示 符 " 界 面 中 ,输入 命令 “ping 
182. 16. 4. 100”, 发 现 可 以 ping 通 CMS 服务 器 ,如 图 1-41 所 示 。 
(3) 返回 实验 拓扑 , 单 击 左 侧 的 计算 机 ,进入 PC2 , 单 击 * 开 始 ” 一 “命令 提示 符 ”, 输 入 
命令 “ping 182. 16. 4. 100”, 发 现 不 能 ping 通 CMS 服务 器 ,说 明 防火 墙 的 配置 成 功 , 如 
图 1-42 所 示 。 
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16 .4188 


图 1-41 成 功 访问 CMS 服务 器 


图 1-42 不 能 访问 CMS 服务 器 


【实验 思考 】 
[二 定 PC2 的 IP 和 MAC? 
(2) 若 要 使 PC2 能 访问 CMS 服务 器 .而 PC1 不 能 访问 CMS 服务 器 ,应 如 何 设置 ? 
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防火 墙 是 不 同 网 络 安全 域 之 间 信 息 的 唯一 出 和 人口 ,能 根据 企业 的 安全 政策 控制 ( 允 
许 、 拒 绝 监测) 出 和 网络 的 信息 流 。 在 完成 防火 墙 设备 的 基本 配置 之 后 ,就 可 以 使 用 防火 
墙 的 基本 应 用 。 

本 章 主要 完成 防火 墙 的 安全 域 管理 和 安全 策略 管理 的 基本 实现 ,包括 防火 墙 安 全 域 
设置 和 安全 策略 设置 ;通过 介绍 防火 墙 在 用 户 网 络 的 常见 部 署 方式 ,学 习 源 NAT、 目 的 
NAT、 地 址 黑 名 单 等 技术 的 原理 和 实际 场景 。 


“四 1 安全 域 管理 与 安全 策略 管理 


2.1.1 防火 墙 安全 域 管理 实验 


【实验 目的 】 
安全 域 作 为 防火 墙 逻辑 控制 架构 的 基本 属性 ,防火 墙 管理 员 可 以 通过 对 防火 墙 接口 
进行 安全 域 划分 ,实现 基于 安全 域 的 访问 控制 及 应 用 安全 等 功能 。 


【知识 点 】 
安全 域 .安全 策略 。 


【场景 描述 】 

公司 有 一 个 需要 与 外 包 商 合作 的 开发 项 目 , 为 了 项 目 沟通 方便 ,要 求 外 包 人 员 在 公司 
内 部 办 公 。 为 了 保障 内 网 的 安全 .领导 要 求 这 些 外 包 人 员 不 允许 访问 公司 内 部 的 业务 系 
统 和 员工 PC, 但 同时 ,公司 内 部 的 人 员 需 要 访问 外 包 人 员 的 计算 机 ,获取 项 目的 开发 资 
料 ,请 思考 安全 运 维 工程 师 应 如 何 通 过 配置 防火 墙 解决 这 个 问题 。 

【实验 原理 】 

防火 墙 安全 域 功 能 是 为 了 对 接口 进行 区 域 划分 ,实现 基于 安全 域 的 访问 控制 及 应 用 
安全 等 功能 。 

【实验 设备 】 

。 安全 设备 : 防火 墙 设备 1 台 。 

。 主机 终端 : Windows 7 主机 3 台 。 
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【实验 拓扑 】 
实验 拓扑 如 图 2-1 所 示 。 


gel :10.0.0.1 ge2 :192.16.2.1 


ss 
管理 机 :10.0.0.44 加 PC1 :192.16.2.100 
& 
名 
PC2 :172.16.3.100/24 
图 2-1 防火 墙 安全 域 设置 实验 拓扑 
【实验 思路 】 


(1) 划分 防火 墙 接 口 安全 域 。 

(2) 添加 安全 策略 并 引用 安全 域 。 

(3) 被 引用 安全 域 中 的 PC 之 间 进 行 相互 通信 。 

(4) 被 引用 安全 域 中 的 PC 与 未 被 引用 的 安全 域 中 的 PC 进行 相互 通信 。 


【实验 要 点 】 

下 一 代 防 火 墙 默认 安全 域 有 五 个 区 域 ,三 个 三 层 区域 ,trust, untrust, dmz, 两 个 二 
层 区 域 trust, untrust。 上 默认 提供 的 五 个 安全 域名 称 不 允许 修改 ,但 是 用 户 可 以 编辑 安 
全 域 所 属 的 类 型 及 接口 成 员 。 用 户 也 可 以 通过 * 网 络 配置 ”一 安全 域 ?添加 自 定义 安 
全 域 , 在 安全 域 列 表 中 ,用 户 可 以 查看 安全 域 属于 三 层 区 域 还 是 二 层 区 域 , 及 安全 域 中 
的 接口 成 员 。 如 果 安 全 域 在 防火 墙 中 被 引用 ,用 户 可 以 查看 到 被 引用 的 次 数 及 引用 
模块 。 


【实验 步骤 】 

(1) 一 (3) ,登录 并 管理 防火 墙 ,检查 防火 墙 的 工作 状态 。 

(4) 单 击 面板 上 方 导航 栏 中 的 “网 络 配 置 ”, 单 击 ge2 右 侧 “操作 ”中 的 笔 形 标志 ,编辑 
ge2 接口 。 

(5) 本 实验 中 ge2 接口 模拟 连接 公司 内 部 网 络 中 的 一 台 计算 机 ,因此 将 ge2 口 IP 设 
置 为 “192. 16. 2. 1” , 掩 码 为 “255. 255. 255. 0”, 安 全 域 为 trust, 后 续 步 又 按照 此 要 求 进 行 
调整 。 在 “编辑 物理 接口 ?界面 中 ,工作 模式 ?选中 * 路 由 模式 ” 单 选 按钮 , 单 击 本 地 地 址 列 
表 中 的 IPv4 标签 列表 中 的 “十 添加 ”按钮 。 如 果 已 有 IP 地 址 的 设置 , 则 单 击 IP 地 址 右 侧 
“操作 ”的 笔 形 标志 , 视 具 体 情况 决定 。 其 他 保持 默认 配置 。 

(6) 在 “添加 IPv4 本 地 地 址 ”界面 中 ,输入 本 实验 设 定 的 IP 地 址 “192. 16. 2. 1”, 该 地 
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址 用 于 与 实验 PC 通信 使 用 ,输入 子 网 掩 码 为 “255. 255. 255. 0”, 类 型 默认 为 float, 如 
图 2-2 所 示 。 


图 2-2 编辑 ge2 接口 IP 地 址 参数 


(7) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 ,再 单 击 “ 确 定 ” 按 钮 ,关闭 “编辑 物理 
接口 "界面 。 

(8) 在 本 实验 中 ,ge3 口 用 于 模拟 连接 PC, 因 此 将 ge3 口 IP 设置 为 “172. 16. 3.1”, 掩 
码 为 “255. 255. 255. 0”, 安 全 域 为 untrust, 后 续 步 又 按照 此 要 求 进行 调整 。 在 “编辑 物理 
接口 "界面 中 , “工作 模式 ”选中 “路 由 模式 ” 单 选 按钮 , 单 击 本 地 地 址 列表 中 的 IPv4 标签 列 
表 中 的 “十 添加 ”按钮 。 如 果 已 有 IP 地 址 设置 , 则 单 击 IP 地 址 右 侧 * 操 作 ” 的 笔 形 标志 , 视 
具体 情况 决定 。 其 他 保持 默认 配置 。 

(9) 在 “添加 IPv4 本 地 地 址 ”中 ,输入 本 实验 设 定 的 IP 地 址 “172. 16. 3. 1”, 该 地 址 用 
于 与 PC 通信 使 用 ,输入 子 网 掩 码 为 “255. 255. 255.0”, 类 型 默认 为 float, 如 图 2-3 所 示 。 


2-3 ”编辑 ge3 接口 IP 地 址 参数 


(10) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 .确定 接口 的 相关 信息 准确 无 误 后 ， 
再 单 击 “ 确 定 ” 按 钮 ,返回 “接口 "界面 。 查 看 ge2 和 ge3 接口 信息 ,如 图 2-4 所 示 。 


1T9ZT5II7255755255T 
ge2 fog0:716.31ffeel:6a67/64 © 2 加 四 站 
17216.3255255.255.0 
Ee fea0-21631ftfeel:sad8/64 © ee OO 日 a 


图 2-4 查看 ge2 和 ge3 接口 信息 


(11) 单 击 面板 上 方 导航 栏 中 的 “策略 配置 ”, 单 击 左 侧 的 “安全 策略 ”。 在 “安全 策略 ” 
界面 中 , 单 击 “ 十 添加 ”按钮 ,添加 安全 策略 ,如 图 2-5 所 示 。 
(12) 在 “添加 安全 策略 ”界面 中 ,输入 “名 称 ” 为 “安全 域 设置 ", 设 置 “ 源 安全 域 ”为 
trust,“ 目 的 安全 域 ”为 untrust, 其 他 保持 默认 配置 ,如 图 2-6 所 示 。 
(13) 单 击 “ 确 定 ” 按 钮 .关闭 “添加 安全 策略 ”界面 。 
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图 2-6 设置 安全 策略 


【实验 预期 】 

(1) 安全 策略 中 引用 的 安全 域 中 的 PC 可 以 按照 规则 通信 。 

(2) 安全 策略 中 引用 的 安全 域 中 的 PC 与 其 他 安全 域 中 的 PC 无 法 通信 。 

【实验 结果 】 

1) 安全 策略 中 引用 的 安全 域 中 的 PC 可 以 按照 规则 通信 

(1) PC1 属于 trust 安全 域 ,PC2 属于 untrust 安全 域 。 此 时 按照 规则 ,PC1 能 ping 
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通 PC2, 但 PC2 无 法 ping 通 PC1。 进 入 实验 平台 对 应 的 实验 拓扑 , 单 击 右 侧 的 计算 机 , 进 
入 PC1, 如 图 2-7 所 示 。 


5 
管理 机 :10.0.0.44 


gel :10.0.0.1 四 ge2 :192.16.2.1 | 


PC1 :192.16.2.100 


钱 |( 


ge3 :172.16.3.1 上 
是 


PC2 :172.16.3.100/24 
图 2-7 打开 实验 PC 


(2) 在 PC1 中 , 单 击 “ 开 始 ” 一 “命令 提示 符 ”。 在 “命令 提示 符 ” 界 面 中 ,输入 命 
“ping 172. 16. 3. 100”, 发 现 可 以 ping 通 PC2。 如 图 2-8 所 示 。 


图 2-8 成 功 访问 PC2 


(3) 返回 实验 i 单 击 下 方 的 计算 机 ,进入 PC2 , 单 击 “启动 ”命令 提示 符 ”, 输 入 
命令 “ping 192. 16. 2. 100”, 发 现 不 能 ping 通 PC1。 被 引用 安全 域 中 的 PC 能 按照 规则 通 
信和 ,如 图 2-9 所 示 。 
2) 安全 策略 中 引用 的 安全 域 中 的 PC 与 其 他 安全 域 中 的 PC 无 法 通信 
(1) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 防火 墙 产品 的 下 地址 “https: //10. 0.0.1” 
(以 实际 设备 全 x 地址 为 准 ), 进 入 防火 墙 的 登录 界面 。 输入 管理 员 用 户 名 admin 和 密码 
“11fw@2soc# 3vpn” 登 录 防火 墙 。 单 击 面板 上 方 导航 栏 中 的 “网 络 配 置 ”, 单 击 左 侧 的 “ 接 
口 ”。 在 “接口 ?界面 中 , 单 击 ge3 右 侧 “操作 ”中 的 笔 形 标 志 , 编 辑 ge3 接口 ,如 图 2-10 所 示 。 
(2) 在 “编辑 物理 接口 ?界面 ,设置 “安全 域 ?为 dmz, 其 他 保持 不 变 , 单 击 “ 确 定 ” 按 钮 。 
此 时 ge3 口 的 安全 域 不 在 安全 策略 中 , 即 PC2 所 属 安全 域 不 在 安全 策略 中 。 此 时 PC1 无 
法 和 PC2 互相 通信 ,如 图 2-11 所 示 。 
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图 2-10 编辑 ge3 接口 


物理 接口 回 启 用 
名 称 “| ge 
MACIE 直 | 001631Lela80e 庆 RK 认 
店 MAC 地 址 。 | 0000004100300 


工人 式 图 路 由 模式 交 澳 模式 羌 路 模式 


1721631 2552552550 float * 


图 2-11 设置 ge3 口 的 安全 域 


(3) 进入 实验 平台 对 应 的 实验 拓扑 , 单 击 右 侧 的 计算 机 ,进入 PC1, 如 图 2-12 所 示 。 
(4) 在 PC1 中 , 单 击 “ 启 动 ”>“ 命 令 提示 符 ”, 输 入 命令 “ping 172. 16. 3.100”, 发 现 不 
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gel :10.0.0.1 | | ge2 :192.16.2.1 
2 


管理 机 :10.0.0.44 PC1 :192.16.2.100 


PC2 :172.16.3.100/24 
图 2-12 打开 实验 PC 


yping 172.16.3.109 


72.16.3.108 月 有 22 于 


图 2-13 访问 PC2 失败 
(5) 返回 5 


人 AA 


命令 “ping 192. 16. 2.100”, 发 现 不 能 ping 通 PC1, 如 图 2-14 所 示 


聆 拓扑 , 单 击 右 侧 的 计算 机 ,进入 PC2 , 单 击 “启动 ”命令 提示 符 ”, 输 入 


.apm 的 


图 2-14 不 能 访问 PC1 
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【实验 思考 】 
(1) 怎样 设置 可 使 得 PC1 和 PC2 可 以 互相 访问 ? 
(2) 怎样 设置 可 使 得 PC1 和 PC2 无 论 在 属于 什么 安全 域 的 条 件 下 都 能 互相 访问 ? 


2.1.2 防火 墙 安全 策略 管理 实验 


【实验 目的 】 
根据 企业 内 部 不 同 的 安全 需求 制定 不 同 的 防火 墙 安全 策略 ,并 防止 元 余 策 略 的 出 现 。 


【知识 点 】 
安全 策略 ,策略 元 余 。 


【实验 场景 】 

A 公司 购 入 一 台 防 火 墙 设备 ,公司 不 同 部 门 的 安全 要 求 是 不 同 的 ,并 在 每 个 部 门 设 
置 一 个 管理 员 ,设置 各 自 部 门 的 安全 策略 ,例如 ,采购 一 部 不 允许 访问 亚马逊 网 站 ,采购 二 
部 允许 访问 亚 马 偿 网 站 。 最 近 安全 运 维 工程 师 发 现 ,采购 一 部 的 同事 也 可 以 访问 亚马逊 
网 站 ,安全 部 门 经 理 要 求 安 全 运 维 工程 师 处 理 该 问题 并 复 现 配置 过 程 。 请 思考 应 如 何 复 
现 并 处 理 安全 策略 的 问题 。 


【实验 原理 】 

安全 策略 是 防火 墙 的 核心 功能 , 它 提 供 了 多 种 维度 ,比如 源 IP、 目 的 IP、 源 安全 域 . 目 
的 安全 域 . 服 务 、 应 用 、 时 间 、 地 域 . 用 户 等 多 种 过 滤 功 能 ,可 以 根据 自身 的 需要 设置 相应 的 
安全 策略 ,对 经 过 防火 墙 的 数据 进行 过 滤 。 通 常情 况 下 ,防火 墙 会 从 上 到 下 按照 顺序 匹配 
安全 策略 ,一 旦 有 一 条 安全 策略 匹配 后 ,将 不 再 向 下 匹配 ,而 在 企业 业务 繁多 的 情况 下 , 安 
全 策略 的 条 目 会 随 着 企业 的 业务 丰富 而 增多 ,容易 产生 重复 配置 .配置 错误 ,规则 顺序 错 
误 , 冲 突 的 安全 策略 ,这 类 型 安全 策略 称 为 “元 余 策略 ”, 防 火 墙 平 台 会 检测 到 元 余 策 略 , 管 
理 员 可 以 根据 实际 情况 及 防火 墙 的 建议 进行 调整 或 删除 元 余 策 略 。 


【实验 设备 】 
。 安全 设备 : 防火 墙 设备 1 台 。 
。 主机 终端 : Windows 7 主机 1 台 。 


【实验 拓扑 】 
实验 拓扑 如 图 2-15 所 示 。 
-本 NGFW, 
管理 机 :10.0.0.44/24 gel :10.0.0.1 
图 2-15 ”防火墙 安全 策略 管理 实验 拓扑 
【实验 思路 】 


(1) 配置 安全 策略 。 
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(2) 删除 元 余 策 略 。 
【实验 要 点 】 
配置 防火 墙 策 略 需 要 精确 设置 ,安全 策略 应 精确 到 五 元 组 设置 。 


【实验 步骤 】 
(1) 一 (3) ,登录 并 管理 防火 墙 ,检查 防火 墙 的 工作 状态 。 
(4) 单 击 “ 策 略 配 置 ">“ 安 全 策略 ”, 进 入 安全 策略 界面 ,如 图 2-16 所 示 。 


em nem 


国 Armm +me | [Hu (Ou |(iBmr | h mere |[ Cam | 
BH eeuE 《 Osm Ee mies 地/ 地 区 Ett/ 地 区 


图 2-16 安全 策略 界面 
(5) 单 击 “安全 策略 ”>“ 添 加 ”, 即 可 创建 新 的 安全 策略 ,如 图 2-17 所 示 。 


司 用 ”四 
动人 加 fi 许 D Se DD 友 全 这 接 候 省) 
源 安全 城 。 | 请 光源 安全 域 ~ 
目的 安全 城 。 | 请 过 择 目 的 安全 城 > 


源 用 户 | 请 选择 源 用 户 
源 地 址 /地 区 。 | 请 迁 择 或 输入 源 地 址 /地 区 
目的 地 址 /地 区 。 | 请 选 泽 或 给 入 目的 地 址 /地 区 
服务 。 | 请 渤 择 服务 
应 用 。 | 请 渤 择 应 用 或 应 用 组 
来 自 剧 道 。 | 请 选择 感 道 
时 间 。 | 请 选择 时 间 0 


VIAN | 请 EXvAN 本 
(取信 范 转 0-4094 , 格式 : 1,3.5-10,12) 


| 


图 2-17 添加 安全 策略 界面 
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【实验 预期 】 
(1) 管理 员 根据 需求 设置 防火 墙 安全 策略 。 
(2) 对 防火 墙 元 余 的 安全 策略 进行 调整 或 者 修改 。 


【实验 结果 】 

1) 设置 安全 策略 

(1) 在 “添加 安全 策略 ”界面 中 填写 详细 信息 ,在 “名 称 ” 中 输入 “采购 一 部 访问 亚 马 
了 还 ”, 在 “描述 ”中 输入 “采购 一 部 临时 采购 图 书 需 要 访问 亚马逊 ”, 勾 选 “ 启 用 ” 复 选 框 ,“ 动 
作 ” 选 中 “允许 ” 单 选 按 钮 ,“ 源 安全 域 " 设 置 为 trust, “目的 安全 域 ”设置 为 untrust,“ 源 地 
址 /地 区 ”设置 为 “中 国 ”“ 目 的 地 址 /地 区 ”设置 为 “中 国 ”,“ 服 务 ” 设 置 为 HTTP， 
HTTPS,“ 应 用 ”设置 为 “亚马逊 ”, 在 VLAN 中 输入 *1-100”, “流量 日 志 ” 勾 选 “ 会 话 开始 ” 
复 选 框 ,其 他 保持 默认 配置 ,如 图 2-18 所 示 。 


添加 安全 第 略 四 


采购 一 部 访问 亚 马 奸 * (1-63 字 符 ) 
采购 一 部 临时 采购 图书 需要 访问 亚 马 渤 (0-127 字 和 禄 ) 


1-100 
( 职 值 范 围 0-4094 , 鹤 式 : 1,3,5-10,12) 


we |[ ws ] 


图 2-18 ”审查 管理 员 登 录 


(2) 单 击 “确定 ?按钮 ,添加 成 功 , 如 图 2-19 所 示 。 


安全 第 略 。 元 全 策略 


[+am ][aw ][ 口 me |][ 18mws |[ 4 erm |[ Cm | 


2-19 添加 安全 策略 成 功 


(3) 在 “安全 策略 ”界面 中 , 单 击 “ 十 添加 ”按钮 ,再 添加 一 条 安全 策略 ,如 图 2-20 所 示 。 
(4) 在 “添加 安全 策略 ”界面 中 填写 详细 信息 ,在 “名 称 ” 中 输入 “采购 二 部 访问 亚马逊 ”, 在 
“描述 ”中 输入 “采购 二 部 采购 图 书 需要 访问 亚马逊 ”, 勾 选 “启用 ” 复 选 框 ,“ 动 作 ” 选 中 “允许 ” 单 
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安全 第 略 。 ”元 余 策 略 


[+l ] (Bw |[ Ow ] Li8 | | 4 Weer ] [Cas |] 
:站 名 称 源 安 全 域 。 目的 安全 域 。 源 地 址 /地 区 。 目的 地 址 /地 区 。 服务 应 用 
口 台风 -NS 动作 mu 全 ntus 上 国 国 国 # 国 入 HP 口 了 3 起 


2-20 ”添加 安全 策略 


选 按钮 ,“ 源 安全 域 ”设置 为 trust,“ 目 的 安全 域 ”设置 为 untrust,“ 源 地 址 /地 区 ”设置 为 “中 国 ”， 
“目的 地 址 /地 区 "设置 为 中国 ”“ 服 务 " 设 置 为 HTTP, HTTPS,“ 应 用 ”设置 为 “亚马逊 ”, 在 
VLAN 中 输入 “1-10”,“ 流 量 日 志 ” 勾 选 “会 话 开始 " 复 选 框 ,其 他 保持 默认 配置 ,如 图 2-21 所 示 。 


添加 安全 第 略 加 
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ET * (1-63 字 禄 ) 
| 采风 一 部 购买 图 书 需要 访问 亚马逊 (0-127 字 稳 ) 


回 许 〇 拒绝 口 安全 连接 健 道 ) 


[ll 
( 取 值 范围 0-4094 , 格式 : 1,3,5-10,12) 多 


[we ww | 


图 2-21 编辑 安全 策略 


(5) 单 击 “ 确 定 ” 按 钮 ,返回 “安全 策略 "界面 ,设置 安全 策略 完成 ,如 图 2-22 所 示 。 


图 2-22 添加 安全 策略 成 功 


(6) 综 上 所 述 ,管理 员 可 正常 添加 安全 策略 ,满足 预期 要 求 。 
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2) 防火 墙 识别 元 余 策略 ,对 宛 余 策 略 进行 管理 
(1) 单 击 面板 上 方 导航 栏 中 的 “策略 配置 ”, 单 击 “ 安 全 策略 ”, 在 “安全 策略 ”界面 中 ， 


列 出 添加 的 两 个 安全 策略 ,如 图 2-23 所 示 。 
安全 第 略 元 全 策略 
十 话 m 回 复制 Dw 18 调 序 二 清 队 命中 数 Ca 
Dam 下 人 二 目的 安全 二 天 地 址 /地 区 目的 地 址 /地 区 | 服务 EE 
Py | 人 @mus @Guneus 国 中国 国 # 国 ee Va 
口 pm | Buust untnust 国 q 国 国 中 国 is 口 ze 兴 


图 2-23 查看 安全 策略 


(2) 单 击 “ 宛 余 策 略 ”, 防 火 墙 识别 "采购 二 部 访问 亚马逊 "是 宛 余 策 略 , 如 图 2-24 所 示 。 


一 一 一 
上 FE Ts 下 人 坊 。 目 的 R 人 城 。。| 天 地 址 /地 区 。 | 目的 地 站/ 地 区 。 | 服务。 | 用 
口 -aa © vt un 国 眉 国 由 pT 


图 2-24 ”元 余 策 略 界 面 


(3) 说 明 "采购 二 部 访问 亚马逊 "安全 策略 和 已 有 的 其 他 安全 策略 存在 完 余 。 比 较 它 
和 "采购 一 部 访问 亚马逊 ”安全 策略 的 配置 ,可 见 * 采 购 一 部 访问 亚马逊 ?安全 策略 的 
VLAN 范围 包含 了 “采购 二 部 访问 亚马逊 ?安全 策略 的 VLAN, 其 他 配置 完全 相同 ,并 且 
“采购 二 部 访问 亚马逊 ”安全 策略 在 “采购 一 部 访问 亚马逊 ”安全 策略 后 面 ,所 以 防火 墙 " 采 
购 二 部 访问 亚马逊 ”安全 策略 是 宛 余 的 ,如 图 2-25 所 示 。 


a C=] arm ] 
[ St [0 p79 
mn em 回 
a a © 只 Om O ewe 
Me [wt We [mt v 
[和 But [one 二 
We [WRB map [wana 
Det/ 中国 WetneE +a 
sn] BioetmmE [pm 
| HTTPHTTPS HTHTTPS 
a [aR En [mse 
| 加 mE > 
[Wen 加 a [We 
wn La i van [110 
0 - 0 - 
[= I=] 


2-25 ”比较 安全 策略 


(4) 可 以 删除 “采购 二 部 访问 亚马逊 "安全 策略 来 解决 元 余 问 题 。 
(5) 综 上 所 述 , 防 火 墙 可 对 安全 策略 中 的 元 余 策 略 进行 识别 ,满足 预期 要 求 。 
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【实验 思考 】 

(1) 目前 需要 过 滤 来 自 * 内 蒙古 ”的 数据 ,安全 运 维 工程 师 应 该 对 安全 策略 进行 怎样 
的 修改 ? 

(2) 怎样 配置 可 以 使 安全 策略 只 在 每 天 的 1 : 00 一 5 : 00 时 间 段 生效 ? 

23 部 署 方式 


防火 墙 作为 最 主要 的 边界 安全 防护 设备 ,主要 部 署 模式 包括 路 由 模式 和 透明 模式 ,其 
中 ,路 由 模式 是 防火 墙 最 为 常见 的 工作 模式 ,本 节 主 要 基于 防火 墙 在 路 由 工作 模式 下 的 单 
出 口 和 多 出 口 环境 进行 说 明 。 

防火 墙 的 部 署 方 式 必须 首先 了 解 网 络 的 架构 ,连接 的 方式 ,并 基于 网 络 现状 规划 当前 
网 络 与 防火 墙 产 品 的 互联 方式 。 主 要 的 设备 部 署 步骤 如 下 : 

(1) 了 解 网 络 拓扑 ,确定 防火 墙 的 部 署 方式 。 

(2) 根据 网 络 设备 的 接 人 方式 ,规划 防火 墙 的 接口 连接 关系 和 接口 所 属 的 安全 域 。 

(3) 根据 网 络 架构 规划 防火 墙 路 由 表 。 

(4) 调研 网 络 访 问 需 求 , 规 划 防 火 墙 访问 控制 策略 。 


2.2.1 防火 墙 网 关 单 出 口 部 署 实 验 


【实验 目的 】 
防火 墙 作为 内 网 网 关 , 通 过 配置 防火 墙 ,实现 内 网 用 户 通过 防火 墙 访问 外 网 。 


【知识 点 】 
网 关 安 全域. 安全 策略 、 网 络 拓扑 。 


【场景 描述 】 

A 公司 新 成 立 一 个 办 事 处 ,需要 安全 运 维 工程 师 为 新 办 事 处 部 署 防火 墙 ,并 配置 防 
火 墙 的 接口 ,对象 配 置 、 安 全 策略 ,静态 路 由 等 相关 功能 ,实现 办 事 处 内 部 主机 通过 防火 墙 
访问 外 部 网 络 , 请 思考 应 如 何 配置 防火 墙 的 网 关 出 口 设置 。 


【实验 原理 】 

静态 或 默认 路 由 是 实现 数据 包 转 发 的 最 简单 方式 ,静态 路 由 将 去 往 特 定 目的 网 络 的 
流量 转发 给 路 由 条 目 中 明确 指定 的 某 个 下 一 跳 直 连 设备 。 对 于 防火 墙 设备 直 连 的 网 络 ， 
无 须 配置 任何 路 由 条 目 来 实现 转发 。 


【实验 设备 】 

。 安全 设备 : 防火 墙 设 备 1 台 。 

。 网 络 设备 : 路 由 器 1 台 , 二 层 交 换 机 1 台 。 

。 主机 终端 : Windows Server 2003 SP2 主机 1 台 , Windows XP 主机 1 台 ,Windows 7 
主机 1 台 。 
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【实验 拓扑 】 
实验 拓扑 如 图 2-26 所 示 。 


ge2:110.69.70.2/24 
GW:110.69.70.1 ge3:172.16.2.1/24 


ge1:10.0.0.1 


Web 服 务 器 : 124.16.8.100/24 . PC1: 172.16.2.100/24 
GW:124.16.8.1 管理 机 :10.0.0.44/24 GW:172.16.2.1 


2-26 ”防火 墙 网 关 单 出 口 实验 拓扑 


【实验 思路 】 

(1) 配置 防火 墙 接口 和 安全 域 。 

(2) 配置 对 象 管理 。 

(3) 配置 安全 策略 。 

(4) 配置 静态 路 由 。 

(5) 配置 源 NAT 转换 。 

(6) 内 网 主机 可 访问 外 网 Web 服务 器 。 


【实验 要 点 】 

在 防火 墙 的 “网 络 配置 "中 ,静态 路 由 时 手动 配置 的 路 由 条 目 , 在 网 络 环境 不 复杂 、 维 
护 路 由 条 目 不 多 、 网 络 环境 比较 稳定 的 前 提 下 ,通过 静态 路 由 可 实现 数据 转发 的 精确 控 
制 ,也 是 动态 路 由 的 有 效 补充 。 到 达 同 一 个 目的 IP 地址 可 以 指定 最 多 八条 静态 路 由 。 可 
利用 “策略 配置 "中 的 源 NAT 策略 ,使 得 内 网 用 户 访问 外 网 时 ,数据 包 经 过 防火 墙 的 源 
NAT 策略 转换 ,隐藏 内 部 的 IP 地 址 和 网 络 信息 ,提高 内 部 网 络 的 安全 性 。 


【实验 步骤 】 

(1) 一 (3) ,登录 并 管理 防火 墙 ,检查 防火 墙 的 工作 状态 。 

(4) 配置 网 络 接口 。 单 击 面板 上 方 导航 栏 中 的 “网 络 配置 > 接口 ”, 显 示 当 前 接口 
列表 , 单 击 ge2 右 侧 “操作 ”中 的 笔 形 标志 ,编辑 ge2 接口 设置 。 

(5) 在 弹出 的 “编辑 物理 接口 ?界面 中 ,ge2 是 模拟 连接 Internet 的 接口 ,因此 “安全 
域 ? 设 置 为 untrust,“ 工 作 模式 ”选中 “路 由 模式 ” 单 选 按 钮 ,在 “本 地 地 址 列表 ”中 的 IPv4 
标签 栏 中 , 单 击 “ 十 添加 ”按钮 。 

(6) 在 弹出 的 “添加 IPv4 本 地 地 址 ”界面 中 .在 “本 地 地 址 ”中 输入 ge2 对 应 的 卫 地 址 
“110. 69. 70. 2”,“ 子 网 掩 码 ” 输 入 “255. 255. 255.0”,“ 类 型 ”设置 为 float, 如 图 2-27 所 示 。 

(7) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 ,确认 ge2 接口 信息 是 否 无 误 。 
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添加 IPv4 本 地 地 址 加 | 


本 地 地 址 ”| 110.69.702 
子 网 挤 码 | 255.255.255.0 
类 型 | float ~ 


[me ][ ws ] 


图 2-27 输入 ge2 对 应 IP 地 址 


(8) 单 击 “ 确 定 ” 按 钮 ,返回 “接口 "列表 ,继续 单 击 ge3 右 侧 的 笔 形 标 志 , 编 辑 ge3 接 
口 信息 。ge3 接口 模拟 连接 公司 内 网 ,因此 “安全 域 ”设置 为 trust, “工作 模式 ”选中 “路 由 
模式 ” 单 选 按钮 ,在 “本 地 地 址 列表 ”一 栏 中 , 单 击 IPv4 一 栏 中 的 “十 添加 ”按钮 。 

(9) 在 弹出 的 “添加 IPv4 本 地 地 址 ”界面 中 ,“ 本 地 地 址 ”输入 ge3 对 应 的 IP 地 址 
“172. 16. 2. 1”,“ 子 网 掩 码 ” 输 入 “255. 255. 255. 0”, 如 图 2-28 所 示 。 


172.162.1 


255.255.255.0| 
float 


图 2-28 编辑 ge3 接口 信息 


(10) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 ,确认 ge3 接口 信息 是 否 无 误 。 
(11) 单 击 “ 确 定 ” 按 钮 ,返回 “接口 "界面 ,查看 ge2 和 ge3 接口 信息 ,如 图 2-29 所 示 。 


Tw | [Dw ] [Cm 


Ta ws 
Me 本 
me ea 
mee m 
em 0D 


NS、 


图 2-29 “接口 ?列表 


(12) 网 络 接 口 设置 完成 后 ,进行 对 象 配 置 。 单 击 上 方 导航 栏 中 的 “对 象 配置 "一 “地 

址 ”>“ 地 址 ”, 显 示 当 前 的 地 址 对 象 列 表 , 如 图 2-30 所 示 。 

(13) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 地 址 ”界面 中 ,在 “名 称 ” 中 输入 “内 网 地 址 
段 ”, 在 “IP 地 址 ”中 输入 ge3 口 对 应 的 IP 地 址 段 *172. 16. 2.0/24”, 如 图 2-31 所 示 。 

(14) 单 击 “ 确 定 ” 按 钮 ,返回 “地 址 ”列表 中 ,可 查看 添加 的 内 网 地 址 段 对 象 ,如 
图 2-32 所 示 。 

(15) 配置 地 址 对 象 后 ,配置 基础 安全 策略 。 单 击 上 方 导航 栏 中 的 “策略 配置 ">“ 安 
全 策略 ”, 显 示 当 前 的 安全 策略 列表 ,如 图 2-33 所 示 。 
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处 置 中心 
辐 地 址 v 地 址 
人 
地 址 组 加 | 地址 
0.0.0.0/0, :3 
服务 器 地 址 EY aan 
VPN 地 址 池 
图 2-30 “地 址 ”界面 
添加 地 址 加 | 
名 称 | 内 网 地 址 段 0-63 字 和 
搞 还 (0-127 闻 稳 
ip 地 址 人 @@ “| 172162.0124 
~ 高 级 


图 2-31 添加 内 网 地 址 段 对 象 


[Ow | 
J 地 址 

0.00.0/0, /0 

172.162.0/24 


图 2-32 ”地址 对 象 列表 


国 NAT 宙 只 [+ ] [Hw ] (Dw ] 人 iB ws ] ( A Sem 


EY 安全 认证 < i 口 g 源 安 全 域 目的 安全 域 


图 2-33 ”安全 策略 列表 


(16) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 安全 策略 ”界面 中 ,在 “名 称 ” 中 输入 “内 网 访 
间 外 网 ”,“ 动 作 ” 选 中 “允许 " 单 选 按钮 “ 源 安全 域 " 设 置 为 trust,“ 目 的 安全 域 ”设置 为 un- 
trust,“ 源 地 址 /地 区 ”设置 为 “内 网 地 址 段 ",“ 目 的 地 址 /地 区 ”服务 ”应 用 ” 均 设置 为 
any, 如 图 2-34 所 示 。 
(17) 单 击 “ 确 定 ” 按 钮 .返回 “安全 策略 ”列表 ,可 查看 添加 的 安全 策略 ,如 图 2-35 所 示 。 
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添加 安全 策略 加 
名 称 。 | 内 网 访问 外 网 * 0-63 字 街 和 
扬 术 (0-127 字 夭 
启用 
动 F 轿 1 许 Om 〇 支 全 连续 优 首 ) 
源 安 全 域 | trust ~ 
目的 安全 域 | untrust bh 
源 用 户 。 | 请 选择 禁用 户 
源 地 址 /地 区 。 | 内 网 地 址 段 
目的 地 址 /地 区 。 | any 
服务 |any 
应 用 |any 
来 自 必 道 。 | 请 选择 感 首 hé 
时 间 。 | 请 选择 时 间 bt 
VIAN | 请 给 AVLAN 
( 唆 值 范围 0-4094 ,格式 : 1.3.5-10,12) Ea 
we | 
图 2-34 添加 基本 安全 策略 
-i 
[+ | [Som | [Ow ] [im ] [me [Cm | A ql 
EP ey be Ta sai en om I pm mm a 
OD mes Br be Lm yy a 人 bd #0 回 


图 2-35 安全 策略 列表 


(18) 配置 静态 路 由 。 单 击 “ 网 络 配 置 ”>“ 路 由 ”一 “静态 路 由 ”, 显 示 当 前 的 静态 路 由 
列表 ,如 图 2-36 所 示 。 


tm | (Da ] [CA ] 
目的 地 址 / 挤 码 | 网 关 


图 2-36 静态 路 由 列表 


(19) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 静态 路 由 ”界面 中 ,“ 目 的 地 址 / 掩 码 ” 保 留 默 


认 的 “0.0.0.0/0.0.0.0”,“ 类 型 "选中 “网 关 ” 单 选 按钮 .在 网关” 中 输入 ge2 口外 接 的 路 
由 器 IP 地 址 ”110. 69. 70. 1”, 如 图 2-37 所 示 。 


0.00.0/0.000 
图 网 关 


110.69.70.| 


昌 


图 2-37 添加 静态 路 由 
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(20) 确认 无 误 后 , 单 击 “确定 ”按钮 ,返回 静态 路 由 列表 ,可 查看 添加 的 静态 路 由 信 
息 , 如 图 2-38 所 示 。 


ea 
[tw ][Dm |] [Cw 


口 imu/ mx Gad 
Sooo meno 3 


四 于 
日 
< 国 


图 2-38 静态 路 由 列表 


(21) 配置 源 NAT 策略 。 单 击 上 方 导航 栏 中 “策略 配置 "一 “NAT 策略 ”一 “ 源 
NAT”, 显 示 当 前 的 源 NAT 策略 列表 ,如 图 2-39 所 示 。 


图 2-39 源 NAT 策 略 列表 


(22) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 源 NAT” 界 面 中 ,在 “名 称 ” 中 输入 “内 网 地 
址 转换 ”, 在 “转换 前 匹配 ”一 栏 中 ,“ 源 地 址 类 型 ”选中 “地 址 对 象 ” 单 选 按钮 ,“ 源 地 址 ”设置 
为 “内 网 地 址 段 ",“ 目 的 地 址 类 型 "选中 “地 址 对 象 ” 单 选 按钮 ,“ 目 的 地 址 “服务 “出 接口 ” 
均 设置 为 any; 在 “转换 后 匹配 ”一 栏 中 , “地址 模式 ”选中 “动态 地 址 ” 单 选 按钮 ,“ 类 型 " 设 
置 为 "BY_ROUTE”, 如 图 2-40 和 图 2-41 所 示 。 


添加 源 NAT 四 
名 称 。 | 内 网 地 址 转换 |* (1-63 字 符 ) 
擅 述 | o-127 字 各 
局 用 ”四 
转换 前 匹配 
源 地 址 类型 。” 加 地 址 对 象 〇 IP 地 址 
天才 址 | 内 网 地 址 各 => 可 
目的 地 址 类 型 ”图 地 址 对 象 〇 iP 地址 
目的 地 址 | any | 
服务 | any 
出 接口 | any v 
转换 后 匹配 
地 址 模式 加 动态 地 址 〇 前 太 地 址 图 


图 2-40 配置 源 NAT 策略 


(23) 确认 无 误 后 , 单 击 “确定 ?按钮 ,返回 源 NAT 策略 列表 ,可 查看 添加 的 源 NAT 
策略 ,如 图 2-42 所 示 。 
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[ws Hw 


图 2-41 配置 源 NAT 策略 (转换 后 ) 


NAT | Bai 


T 
Fam |[Ow | (Iam | 
Om 


2-42 源 NAT 策略 列表 


(24) 防火 墙 完成 基本 上 网 配置 。 


【实验 预期 】 
内 网 PC 可 正常 浏览 外 网 Web 服务 器 。 


【实验 结果 】 
(1) 登录 实验 平台 中 对 应 实验 拓扑 右 侧 的 虚拟 机 ,进入 PC1, 如 图 2-43 所 示 。 


ge2:110.69.70.2/24 
(GO GW:110.69.70.1 ge3:172.16.2.1/24 
E 
三 
各 
于 
名 
0 一 一 
上 mm 
[一 -| 
一 3 = 
Web 服 务 器 :124.16.8.100/24 和 PC1: 172.16.2.100/24 
GW:124.16.8:1 管理 机 :10.0.0.44/24 Ge 


图 2-43 登录 虚拟 机 


(2) 双击 桌面 的 火狐 浏览 器 快捷 图 标 ,运行 火狐 浏览 器 ,如 图 2-44 所 示 。 


图 2-44 运行 火狐 浏览 器 
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(3) 在 地 址 栏 中 输入 Web 服务 器 的 IP 地 址 “124. 16. 8. 100”, 可 正常 显示 网 页 内 容 ， 


如 图 2-45 所 示 。 


避 对 Pir 高 演 人 才 系 统 re… x 


€ | © |124.16.8.100 |EE33 
欢迎 来 到 骑士 人 才 系 统 ! “ [ 苔 录 | [免费 注册 ] 保存 到 桌面 
窑 27z26 
招聘 信息 。“ 微 招聘 。 ”求职 信息 。 了 工具 箱 。。 新闻 资 讯 。 会 员 中 心 。 进入 论坛 
当前 位 十 ,网络 首页 
搜索 职位 企业 总 故 : 0 有效 职位 : 0 有 效 简历 :0 会员 总 故 ， 0 
时 近 更 新 职位 ”写字 楼 搜索 职位 
热门 关键 字 ， 销售 代表 销售 经 理 会 计 销售 工程 师 销售 助理 这 路 搜 索 职 位 。 控 标 怎 搜索 中 位 
最 新 下 载 简历 谁 下 载 了 我 的 简历 ? 马上 登 孙 间 看 。 ”本 周 热点 职位 更 多 


图 2-45 访问 Web 服务 器 


(4) 综 上 所 述 , 内 网 主机 可 正常 访问 外 网 Web 服务 器 ,满足 预期 要 求 。 


【实验 思考 】 


(1) 静态 路 由 的 权重 值 有 什么 作用 ? 
(2) 防火 墙 本 身 流 出 去 的 流量 是 否 可 以 通过 其 他 路 由 策略 进行 配置 ? 


2.2.2 防火 墙 桥接 口 部 署 实验 


【实验 目的 】 


管理 员 通 过 添加 桥 , 绑 定 桥 与 物理 接口 ,新 建 桥 接口 并 配置 相应 参数 ,从 而 实现 路 由 


桥 的 数据 转发 功能 。 
【知识 点 】 


桥 、 桥 接口 、 安 全 策略 。 


【场景 描述 】 


A 公司 有 两 个 产品 部 门 , 产 品 部 B 和 产品 部 C, 由 于 业务 的 敏感 性 比较 高 ,不 允许 两 
个 部 门 互相 通信 访问 ,为 实现 此 需求 ,公司 采购 了 一 台 防 火 墙 来 实现 两 个 部 门 所 在 局 域 网 
的 隔离 ;后 来 由 于 业务 需求 ,产品 部 B 与 产品 部 C 合并 ,现在 经 理 要 求 安 全 运 维 工程 师 在 
不 改变 网 络 架构 的 情况 下 ,对 防火 墙 的 配置 进行 调整 ,实现 产品 部 B 与 产品 部 C 可 以 互 
相通 信 ,请 思考 应 怎样 配置 防火 墙 才能 满足 经 理 的 要 求 。 


【实验 原理 】 


防火 墙 作为 网 桥 时 ,工作 在 数据 链 路 层 。 一 个 桥 类 似 一 个 vlan, 对 接 同 一 桥 的 设备 ， 
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只 能 在 该 桥 内 进行 二 层 转发 。 不 开启 虚拟 线路 桥 的 桥 可 以 绑 定 桥接 口 ,作为 三 层 接口 管 
理 防 火 墙 。 


【实验 设备 】 

。 安全 设备 : 防火 墙 设备 1 台 。 

。 主机 终端 Windows 7 主机 3 台 。 
【实验 拓扑 】 

实验 拓扑 如 图 2-46 所 示 。 


PC1:172.16.2.100/24 PC2:172.16.3.100/24 


管理 机 :10.0.0.44/24 
(以 实际 JP 地 址 为 准 ) 


图 2-46 防火 墙 桥接 口 配置 实验 拓扑 


【实验 思路 】 

(1) 添加 桥 , 绑 定 桥 和 物理 接口 。 
(2) 新 建 并 配置 桥接 口 。 

(3) 添加 一 条 全 通 安全 策略 。 
(4) PC1 与 PC2 互相 ping。 


【实验 要 点 】 

下 一 代 防 火 墙 管理 员 可 以 单 击 * 网 络 配置 ”一 * 桥 ”, 添 加 桥 , 单 击 “ 网 络 配置 ”一 ”* 接 
口 ” 绑 定 桥 和 物理 接口 ,并 添加 、 配 置 桥接 口 ,最 后 单 击 “ 策 略 配置 ">“ 安 全 策略 ”, 添 加 安 
全 策略 ,实现 路 由 桥 的 数据 转发 功能 。 


【实验 步骤 】 

(1) 一 (3) ,登录 并 管理 防火 墙 , 检 查 防火 墙 的 工作 状态 。 

(4) 单 击 面板 上 方 导航 栏 中 的 “网 络 配 置 ”", 单 击 左 侧 的 “ 桥 ”, 在 “ 桥 ” 界 面 中 , 单 击 
“十 添加 ”按钮 ,添加 桥 , 如 图 2-47 所 示 。 

(5) 在 “编辑 桥 ”" 界 面 ,“ 桥 ID” 设 置 为 1,“HA 组 ”设置 为 0, 不 勾 选 “虚拟 线路 桥 " 复 选 
框 ,如 图 2-48 所 示 。 

(6) 单 击 “ 确 定 ” 按 钮 ,返回 “ 桥 ” 界 面 , 单 击 “ 十 添加 ”按钮 ,添加 桥 。 在 “编辑 桥 ” 界 面 
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网 络 本 于 。 。 系 本 加 人 | 凡 adm| 


桥 
en [ED 于] [6 可 ] 
CD 和 


图 2-47 添加 桥 


全 名 本 国 
村 ID 1 et 
HA 组 |0 Y 
虚拟 线路 桥 户 
Cae J 
图 2-48 ”编辑 桥 


中 ,“ 桥 ID” 设 置 为 2,“HA 组 "设置 为 0, 不 勾 选 “虚拟 线路 桥 " 复 选 框 ,如 图 2-49 所 示 。 


图 2-49 添加 桥 


(7) 单 击 面板 上 方 的 “网 络 配 置 ”, 单 击 左 侧 的 “接口 ”, 在 “接口 "界面 单 击 ge2 右 侧 
“操作 ”中 的 笔 形 标 志 , 编 辑 ge2 接口 ,如 图 2-50 所 示 。 

(8) 在 “编辑 物理 接口 "界面 ,“ 工 作 模式 ”选中 “交换 模式 ” 单 选 按钮 ,“ 模 式 ” 选 中 
Bridge 单 选 按钮 ,“ 桥 ”设置 为 brl 。 其 他 保持 默认 配置 ,如 图 2-51 所 示 。 

(9) 单 击 “ 确 定 ” 按 钮 ,返回 “接口 "界面 , 单 击 ge3 右 侧 “ 操 作 ” 中 的 笔 形 标志 ,编辑 ge3 
接口 。 在 “编辑 物理 接口 "界面 中 , “工作 模式 ”选中 “交换 模式 ” 单 选 按钮 ,“ 模 式 ” 选 中 
Bridge 单 选 按钮 ,“ 桥 ”设置 为 br2。 其 他 保持 默认 配置 ,如 图 2-52 所 示 。 
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图 2-50 编辑 ge2 接口 


人 这 物理 接口 回 
物理 接口 ” 回 启 用 
名 称 [ge2 
MAC 地 址 | 00:16:31:el:a8:0d 恢复 默认 
虚 MAC 地 址 
搞 述 (0-127) 个 字符 
安全 域 【any > 
工作 模式 口中 由 机 。 加 交换 模 。 口 痛 路 模 
地 式 式 
模式 品 D Trunk 
Access Bridge Channel 
桥 [brl -~ 
”高 
[Cw [ws 
图 2-51 编辑 物理 接口 ge2 
9] 画 
物理 接口 四 启用 
各 称 [ge3 日 
MAC 地 址 【00:16-3l:el:a80e |] 恢复 财 认 
虐 MAC 地 址 ] 
3 术 |[| |]oaznfsf 
安 人 二 [my | 
工作 模式 。 〇 路 由 模 。 加 交接 模 旁 路 模 
式 
模式 O @ D 
Access Bridge Channel 
本 [bz “| 
~ SE 
[ws ][ ws ] 


图 2-52 编辑 物理 接口 ge3 
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(10) 单 击 “ 确 定 ” 按 钮 ,返回 “接口 "界面 。 单 击 “ 十 添加 ”按钮 ,选择 “桥接 口 ”, 添 加 桥 
接口 ,如 图 2-53 所 示 。 


接口 

[+ ] [Oa [Cw ] Er BE .| 
TD 

Mt fea0-21631ft4ee979a/64 © 加 日 日 ed 日 7 
[sd a bridge:brl EE 日 9 回 * 
a St bridge:br2 一 日 日 9 回 ’ 
2] 

交 损 模式 。。 access 1vlanl 加 外 = 9 | Ed 
Ee Ww 
ADSsLRD 
3 
RD 


图 2-53 ”添加 桥接 口 


(11) 在 “编辑 桥接 口 " 界 面 中 , 勾 选 “启用 " 复 选 框 ,“ 桥 ”设置 为 brl, 其 他 保持 默认 配 
置 , 单 击 “ 十 添加 ”按钮 ,如 图 2-54 所 示 。 


绽 名 桥接 品 加 


搞 述 (0-127) 人 字符 
安全 域 【any > 
本 地 地 址 列表 JPv4 IPv6 
图 静态 地 址 O DHcpP 
|+ 添加 | [ 口 开除 
口 本 地 地 址 | 子 网 六 码 | 类 型 


图 2-54 编辑 桥接 口 


(12) 在 “添加 IPv4 本 地 地 址 ”界面 中 ,在 “本 地 地 址 ”中 输入 “*172. 16. 2. 1”,“ 子 网 掩 
码 ” 中 输入 “255. 255. 255.0”,“ 类 型 "设置 为 float, 如 图 2-55 所 示 。 
二 IIPv4 本 地 地 址 回 

本 地 地 址 | 172.16.2.1 二 


子 网 挤 码 [255.255.255.0 
类 型 | float ~ 


确定 | 取消 


图 2-55 添加 IPv4 本 地 地 址 
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(13) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 桥接 口 " 界 面 , 单 击 “ 确 定 ” 按 钮 ,返回 “接口 ”界面 。 
单 击 “ 十 添加 ”按钮 ,选择 “桥接 口 ”, 添 加 桥接 口 。 在 “编辑 桥接 口 " 界 面 中 , 勾 选 “启用 ” 复 
选 框 ,“ 桥 ”设置 为 br2, 其 他 保持 默认 配置 , 单 击 “ 十 添加 ”按钮 ,如 图 2-56 所 示 。 


[mn  | 
桥接 口 加 启用 
酉 |br2 ~> 
MAC 地 址 [2e:2e:l1:27:c9:d5 ”| 恢复 时 从 
走 MAC 地 址 [00:00:02:30:00:00 
搞 述 (0-127) 人 字符 


图 2-56 ”编辑 桥接 口 


(14) 在 “添加 IPv4 本 地 地 址 ”界面 中 ,在 “本 地 地 址 ”中 输入 *172. 16. 3. 1”,“ 子 网 扼 
码 ” 中 输入 “255. 255. 255.0”,“ 类 型 "设置 为 float, 如 图 2-57 所 示 。 


172.16.3.1 
255.255.255.0 


float 


图 2-57 添加 IPv4 本 地 地 址 


(15) 单 击 “确定 ”按钮 ,返回 “编辑 桥接 口 ” 界 面 , 单 击 “ 确 定 ” 按 钮 ,返回 “接口 "界面 。 
单 击 面板 上 方 的 “策略 配置 ”, 单 击 左 侧 的 “安全 策略 ”, 在 “安全 策略 "界面 中 单 击 “ 十 添加 ” 
按钮 ,如 图 2-58 所 示 。 


(16) 在 “编辑 安全 策略 ”界面 中 .在 “名 称 ” 中 输入 “全 通 安 全 策略 ”“ 源 安全 域 ” 设 置 
为 any,“ 目 的 安全 域 ” 设 置 为 any, 其 他 保持 默认 配置 ,如 图 2-59 所 示 。 


【实验 预期 】 

PC1 可 以 与 PC2 互相 ping 通 . 并 且 在 “网 络 配置 ”~“MAC” 下 可 以 查 到 动态 MAC， 
在 ARP 下 可 以 查 到 动态 ARP。 

【实验 结果 】 

(1) 在 学 生 本 地 机 打开 浏览 器 ,在 地 址 栏 中 输入 防火 墙 产品 的 IP 地 址 “https: //10. 
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se 
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图 2-58 添加 安全 策略 


添加 安全 第 略 四 
二 
名 称 。 | 全 通 安全 策略 “0.63 字 各 
搞 述 | (0-127 字 彻 
启用 四 
动作 ”图 1 族 〇 拒绝 〇 安全 连接 (阴道 ) 
源 安全 域 | any 
目的 安全 域 “| ay 
源 用 户 | 请 选择 源 用 户 
天 地 址 /地 区 。 | 请 村 择 或 过 入 源 地 址 /地 区 
目的 地 址 /她 区 。 | 请 选择 或 输入 目的 地 址 /地 区 
Bs (WasBs 
EE 
来 和 磁道 。 | 清光 反 局 道 
时 间 | 请 二 择 时 间 
VLAN “| 请 丛 AVLAN 
(他 值 范围 0-4094 ,格式 : 1.3,5-10,12) 有 4 
确定 取消 


图 2-59 编辑 安全 策略 


0.0.1”( 以 实际 设备 IP 地 址 为 准 ), 进 入 防火 墙 的 登录 界面 。 输 入 管理 员 用 户 名 admin 和 
密码 “!1fw@2soc#3vpn" 登 录 防 火 墙 。 单 击 面板 上 方 的 “网 络 配置 ”, 单 击 左 侧 的 ARP 一 
“动态 ARP” ,在 “动态 ARP” 界 面 中 , 单 击 “ 全 部 清除 ”按钮 ,如 图 2-60 所 示 。 

(2) 单 击 面板 上 方 的 “网 络 配 置 ”, 单 击 左 侧 的 MAC 一 “动态 MAC”, 在 “动态 MAC” 
界面 中 , 单 击 “全 部 清除 ”按钮 ,如 图 2-61 所 示 。 

(3) 登录 实验 平台 对 应 实验 拓扑 中 左 侧 的 计算 机 ,进入 虚拟 机 PC1, 如 图 2-62 所 示 。 
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图 2-61 清除 MAC 


L 


PC2: 172.16.3.100/24 


PC1: 172.16.2.100/24 


管理 机 : 10.0.0.44/24 
(以 实际 卫 地 址 为 准 ) 


图 2-62 登录 左 侧 虚拟 机 
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(4) 在 虚拟 机 中 打开 下 浏览 器 , 单 击 “ 开 始 ” 一 “命令 提示 符 ”, 在 弹出 的 界面 中 输入 
命令 “ping 172. 16. 3. 100”, 如 图 2-63 所 示 。 


1gB: 
1BP 
time<in 


tati 
kets 


Approxinate round trip tine 


Hininun . Haxinun 
ott ings \Adninistra 
LBG with 


3 -TDP: byt 


timeCin 


Approxinate round trip tine in milli 
Hininun = Hm Haxinun = Hm, fl 


C:\Docunents and Settings dninistrator 


图 2-63 命令 提示 符 界 面 1 


(5) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 防火 墙 产品 的 IP* 地 址 https: //10. 0. 0.1” 
(以 实际 设备 人 地址 为 准 ), 进 入 防火 墙 的 登录 界面 。 输 入 管理 员 用 户 名 admin 和 密码 
“11fw@2soc#3vpn” 登 录 防 火 墙 。 单 击 面 板 上 方 的 “网 络 配 置 ”, 单 击 左 侧 的 ARP 一 
“动态 ARP”, 在 “动态 ARP” 界 面 中 看 到 增加 的 ARP 记录 ,如 图 2-64 所 示 。 


面板 。 分析 中 心 。 数据 中 心 。 处 置 中 心 。 第 中 本 要。 对 名 可 委 。。 网 和 本 加 。。 和 


二 安信 [LEE [DR [SEC EE 
pt att i Se ia 四 so mE 
上 172162.100 S25400.bcb350 ba 551 二 At 
党 析 172163.100 525400a8.0c39 br2 554 到 未 尘 定 
ARp 
都 坊 ARP 
动 意 ARP 
加 MA 
三 路 由 
Ea 
委 修 ] 页 从 1 页 夸克 了 [20 ~ 旦 示 1-2, 共 2 条 


图 2-64 ARP 记录 
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(6) 单 击 面板 上 方 的 “网 络 配置 >, 单 击 左 侧 的 MAC 一 “动态 MAC”, 在 “动态 MAC” 
界面 中 看 到 新 增加 的 MAC 记录 ,如 图 2-65 所 示 。 


~] 显示 1-4, 共 4 条 


图 2-65 MAC 记录 


(7) 登录 实验 平台 对 应 实验 拓扑 中 右 侧 的 计算 机 ,进入 虚拟 机 PC2, 如 图 2-66 所 示 。 


| 中 | 国 此 器 


PC1: 172.16.2.100/24 


PC2: 172.16.3.100/24 


a 
管理 机 : 10.0.0.44/24 
(以 实际 IP 地 址 为 准 ) 


图 2-66 登录 右 侧 虚 拟 机 


(8) 在 虚拟 机 中 单 击 “ 开 始 ” 一 "命令 提示 符 ”, 在 弹出 的 界面 中 输入 命令 "ping 172. 
16. 2. 100”, 发 现 可 以 ping 通 , 如 图 2-67 所 示 。 


【实验 思考 】 
(1) 配置 路 由 桥 时 ,是 为 防火 墙 的 哪 种 接口 配置 IP 的 ? 
(2) 怎样 为 防火 墙 增加 桥接 口 ? 

50 


图 2-67 命令 提示 符 界面 2 


2.2.3 防火 墙 网 关 多 出 口 部 署 实验 

【实验 目的 】 

在 外 网 有 多 个 出 口 情况 下 ,配置 防火 墙 接口 设置 ,使 得 每 条 出 口 对 应 防火 墙 的 一 个 接 
口 ,配置 防火 墙 接 口 参数 ,使 得 内 网 用 户 通过 多 条 出 口上 网 。 


【知识 点 】 
静态 路 由 、 源 NAT ISP 路 由 、 安 全 域 、. 安 全 策略 
【场景 描述 】 


A 公司 为 了 给 员工 提供 更 好 的 上 网 环境 ,在 原来 的 基础 上 又 申请 了 另外 一 条 宽带 线 
路 ,新 增 的 这 条 线路 和 原来 的 线路 不 是 同一 家 运营 商 。 现 在 领导 要 求 员 工 可 以 通过 两 条 
线路 上 网 , 且 目 前 公司 的 网 络 出 口 有 一 台 防 火 墙 。 请 思考 应 如 何 通过 配置 防火 墙 实现 多 
出 口上 网 的 需求 。 


【实验 原理 】 
企业 信息 系统 面临 内 网 多 用 户 、 多 ISP 出 口 时 ,需要 对 网 络 环境 进行 优化 配置 ,通过 


对 防火 墙 物 理 接口 的 设置 以 及 安全 域 . 安 全 策略 等 参数 的 配置 ,可 以 实现 单 ISP 多 出 口 、 
多 ISP 多 出 口 等 情况 进行 设置 。 防 火 墙 中 预 置 了 常见 ISP( 中 国电 信 、 中 国联 通 、 中 国 移 
动 .教育 网 ) 的 主要 成 员 路 由 ,还 可 以 通过 自 定义 ISP 信息 实现 额外 的 添加 。 通 过 多 出 口 
配置 ,不 仅 能 负载 用 户 数据 ,还 可 以 在 多 个 出 口 间 实现 备份 , 当 其 中 一 个 出 口 出 现 问 题 时 ， 
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可 以 使 用 其 他 出 口 进行 通信 。 
【实验 设备 】 
。 安全 设备 : 防火 墙 设备 1 台 。 
。 网 络 设备 : 2 层 交换 机 1 台 。 
。 主机 终端 : Windows Server 2003 SP2 主机 2 台 ,Windows XP 主机 1 台 ,Windows 7 
主机 1 台 。 


【实验 拓扑 】 
实验 拓扑 如 图 2-68 所 示 。 


Web 服 务 器 : 124.16.8.100/24 


ge2: 124.16.8.1 
ge3: 110.69.20.1 


Web 服 务 器 : 110.69.20.100/24 


ge4: 172.16.1.1/24 


PC1: 172.16.1.100/24 


gel: 10.0.0.1 


管理 机 : 10.0.0.44/24 
(以 实际 JP 地址 为 准 ) 


图 2-68 防火 墙 网 关 多 出 口 部 署 实验 拓扑 


【实验 思路 】 

(1) 配置 防火 墙 接口 地 址 。 

(2) 配置 接口 所 属 安 全 域 。 

(3) 配置 防火 墙 安 全 策略 。 

(4) 配置 静态 路 由 及 ISP 路 由 。 

(5) 配置 源 地 址 转换 。 

(6) 内 网 主机 可 访问 不 同 出 口 Web 服务 器 。 


【实验 要 点 】 
理解 防火 墙 多 出 口 工作 原理 ,理解 防火 墙 不 同类 型 路 由 工作 的 优先 级 。 下 一 代 防 火 墙 管 
理 员 可 依次 单 击 “ 网 络 配置 一 “路 由 ”一 “策略 路 由 ”, 选 择 “ISP 路 由 ”完成 相关 路 由 配置 。 


【实验 步骤 】 
51) 一 (3) ,登录 并 管理 防火 墙 ,检查 防火 墙 的 工作 状态 。 
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(4) 配置 网 络 接口 。 单 击 面板 上 方 导 航 栏 中 的 “网 络 配置 ”> 接口 ”, 显 示 当 前 接口 
列表 , 单 击 ge2 右 侧 “操作 ”中 的 笔 形 标志 ,编辑 ge2 接口 设置 。 

(5) 在 弹出 的 “编辑 物理 接口 "界面 中 ,ge2 是 模拟 连接 Internet 的 接口 之 一 ,因此 “ 安 
全 域 " 设 置 为 untrust, “工作 模式 ”选中 “路 由 模式 ” 单 选 按钮 ,在 “本 地 地 址 列表 ”中 的 
“IPv4” 标 签 栏 中 , 单 击 “ 十 添加 ”按钮 。 

(6) 在 弹出 的 “添加 IPv4 本 地 地 址 ”界面 中 ,在 “本 地 地 址 ”中 输入 ge2 对 应 的 IP 地 
址 “124. 16. 8.1”,“ 子 网 掩 码 ” 输 入 “255. 255. 255.0”,“ 类 型 "设置 为 float, 如 图 2-69 所 示 。 


本 地 地 址 ”| 124.16.8.1 
子 网 掩 码 255.255.255.0 
类 型 ”| float es 


图 2-69 输入 ge2 对 应 IP 地址 


(7) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 ,确认 ge2 接口 信息 是 否 无 误 。 

(8) 单 击 “ 确 定 ” 按 钮 ,返回 “接口 "列表 ,继续 单 击 ge3 右 侧 的 笔 形 标志 ,编辑 ge3 接 
口 信息 。ge3 接口 与 ge2 接口 性 质 相同 , 均 为 模拟 连接 Internert 的 接口 ,因此 其 “安全 域 ” 
设置 为 untrust, “工作 模式 ”选中 “路 由 模式 " 单 选 按 钮 ,在 “本 地 地 址 列表 ”中 的 “IPv4” 标 
签 页 中 , 单 击 “ 十 添加 ”按钮 。 

(9) 在 弹出 的 “添加 本 地 IPv4 本 地 地 址 ”界面 中 ,在 “本 地 地 址 ”中 输入 ge3 口 对 应 IP 
地 址 “110. 69. 20. 1”,“ 子 网 掩 码 ”输入 “255. 255. 255. 0”,“ 类 型 ”设置 为 float, 如 图 2-70 
所 示 。 


110.69.20.1 


255.255.255.0 


float 


2-70 ”编辑 ge3 接口 信息 


(10) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 .确认 ge3 接口 信息 是 否 无 误 。 

(11) 单 击 “ 确 定 ” 按 钮 .返回 “接口 "列表 , 单 击 ge4 右 侧 的 笔 形 标志 ,编辑 ge4 接口 信 
息 。ge4 口 接 入 公司 内 网 ,因此 “安全 域 ” 设 置 为 trust,“ 工 作 模 式 ” 选 中 “路 由 模式 ” 单 选 按 
钮 , 单 击 “ 本 地 地 址 列表 ”中 的 “IPv4” 标 签 页 , 单 击 “ 十 添加 ”按钮 。 
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(12) 在 弹出 的 “添加 IPv4 本 地 地 址 ”界面 中 ,在 “本 地 地 址 ”中 输入 ge4 接口 对 应 的 
内 网 IP 地 址 “172. 16. 1. 1”,“ 子 网 掩 码 ” 输 入 “255. 255. 255. 0”,“ 类 型 ”设置 为 float, 如 
图 2-71 所 示 。 


ET [3] 
本 地 地 址 172.16.1.1 | 
子 网 挤 码 [255.255.255.0 | 
类 型 |float v| 


图 2-71 配置 ge4 接口 信息 


(13) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 ,确认 ge4 接口 信息 是 否 无 误 。 
(14) 单 击 “ 确 定 ” 按 钮 ,返回 “接口 ”列表 ,确认 ge2、ge3 和 ge4 接口 设置 完毕 , 如 
图 2-72 所 示 。 
GD Dw [Cw 二 J 区 二 
Dm er wn ee a mm mm | 


图 2-72 ge2、ge3 和 ge4 接口 列表 


(15) 配置 接口 信息 后 ,需要 对 安全 策略 进行 配置 。 单 击 上 方 导航 栏 中 的 “策略 配置 ”一 
“安全 策略 ”, 显 示 当 前 的 安全 策略 列表 ,如 图 2-73 所 示 。 


和 你 6DO 网 神 数据 中 心 ”处置 中 心 策略 配置 。 ”对象 配置 。 。 网 络 配置 
WV emm 安全 第 略 元 余 策 略 
国 NAT 第 略 [+¥m ][ 名 后 |] (Ow ][ ams |( $ estn ][ Cm | 
园 安全 认证 《 :次 亚 安 全 域 目的 安全 域 源 地 址 /地 区 
图 ssL 解 客 征 略 


图 2-73 安全 策略 列表 
(16) 单 击 “ 安 全 策略 ”标签 栏 中 的 “十 添加 ”按钮 ,在 弹出 的 “添加 安全 策略 ”界面 中 ， 
在 “名 称 ” 中 输入 “内 网 访问 外 网 ”“ 动 作 ” 选 中 “允许 ” 单 选 按 钮 ,“ 源 安全 域 ” 设 置 为 trust， 
“目的 安全 域 " 设 置 为 untrust,“ 源 地 址 /地 区 ”和 “目的 地 址 /地 区 ”设置 为 any, 如 图 2-74 


所 示 。 
(17) 单 击 “ 确 定 ” 按 钮 ,返回 “安全 策略 "列表 ,显示 添加 的 安全 策略 信息 ,如 图 2-75 
所 示 。 


54 


em 第 2 章 防火 墙 网 络 部 署 mmm 


添加 安全 第 略 Xx 
名 称 。 | 内 网 访问 外 网 * (01-63 祁 夭 
所 述 (0-127 字 移 
启用 加 
动人 图 允许 Ox 〇 支 全 连接 侍 首 ) 
源 安 全 域 | trust v 
目的 安全 域 | untrust ~ 
源 用 户 | 请 选择 源 用 户 
源 地 址 /地 区 | any 
目的 地 址 /地 区 。 | any 
服务 | 请 渤 择 服务 
应 用 | 请 选择 应 用 或 应 用 组 
来 白 夸 道 。 | 请 远 择 感 道 ~ 
时 间 。 | 请 选择 时 间 ~v 
VIAN | 请 给 和 VLAN 
( 取 值 范 围 0-4094 , 想 式 : 1,3,5-10,12) 
确定 取消 


图 2-74 添加 安全 策略 


ee Rm 


EF Em Ew] Cis) Dm LCw] mm | 
Om Cid ere /WE et ms en Ld PPAR a sd a 
J mmm Ea 区 ~ ~ ~ 本 A E 


图 2-75 安全 策略 列表 (已 添加 安全 策略 


(18) 为 使 内 网 用 户 可 以 按 要 求 连接 对 应 的 链 路 ,需要 配置 策略 路 由 。 单 击 “ 网 络 配 
置 ">“ 路 由 ”一 “策略 路 由 ”, 显 示 当 前 的 策略 路 由 列表 ,如 图 2-76 所 示 。 


第 赂 路 由 ISP 路 由 ISP 信 息 


© ses [Ff ] [OD | Cae [Ss Ss ] [CR ] 
加 van IE 二 让 目的 地 址 | 


2-76 策略 路 由 列表 
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(19) 单 击 其 中 的 “ISP 路 由 ”标签 ,显示 当前 的 ISP 路 由 列表 ,如 图 2-77 所 示 。 


策略 路 由 1SP 路 由 ISP 信 息 


[ra )| om ] Ca mor ] [CRS 
名称 ISP 名 称 


2-77 ISP 路 由 列表 


(20) 将 ge2 .ge3 对 应 的 ISP 信息 添加 到 ISP 路 由 表 中 ,其 中 ,ge2 接口 模拟 电信 接 
口 ,其 对 应 IP 地 址 为 “124. 16. 8. 1”, ge3 接口 模拟 联通 接口 ,其 对 应 IP 地 址 为 “110. 69. 
20.1”。 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 ISP 路 由 ”界面 中 ,在 “名 称 ” 中 输入 “连接 电信 
路 由 ”,“ 优 先 级 "输入 255,“ISP 名 称 ” 设 置 为 “中 国电 信 ”, 单 击 " 网 关 ” 一 栏 中 的 “十 添加 ” 
按钮 ,如 图 2-78 所 示 。 


添加 ISP 路 由 
名 称 | 连接 电信 路 由 * (1-63 字 禄 ) 
搞 述 (0-127 字 称 
优先 级 [25 |] 0255,ofA 有 各 
Ispg 称 [中 国信 “| 
启用 
本 


图 2-78 添加 连接 电信 路 由 信息 


(21) 在 弹出 的 “添加 网 关 ” 界 面 中 ,在 “网 关 地 址 ”中 输入 ge2 连接 的 Web 服务 器 对 
应 IP 地 址 “124. 16. 8. 100” 模 拟 连接 的 电信 服务 器 ,在 “权重 ”中 输入 255 ,权重 值 越 大 ,分 
配 的 会 话 数 越 多 ,表明 是 主 链 路 ,如 图 2-79 所 示 。 


网 关 地 址 。 | 124.16.8.100 
权重 |255 * (1-255) 


图 2-79 配置 路 由 网 关 


(22) 单 击 “ 确 定 ” 按 钮 ,返回 “添加 ISP 路 由 ”界面 ,确认 路 由 信息 是 否 无 误 , 如 图 2-80 
所 示 。 
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添加 ISP 路 由 x 

名 称 | 连接 电信 路 由 "(01-63 字 入) 
摘 述 (0-127 字 冤 

优先 级 |255 * (0-255 ,0 优先 级 最 高 ) 

ISP 名 称 | 中 国电 信 bd 
启用 加 
[Fn] 

网 关 


口 124.16.8.100 255 Ed 


图 2-80 ”确认 连接 电信 路 由 信息 


(23) 单 击 “ 确 定 ” 按 钮 ,返回 “ISP 路 由 ?列表 ,继续 单 击 “十 添加 ?按钮 ,添加 连接 联通 
的 路 由 信息 。 在 弹出 的 “添加 ISP 路 由 ”界面 中 ,在 “名 称 ” 中 输入 “连接 联通 路 由 ”“ 优 先 
级 "中 输入 255,“ISP 名 称 ” 设 置 为 * 中 国联 通 ”, 单 击 “ 网 关 ” 一 栏 中 的 “十 添加 ”按钮 ,如 
图 2-81 所 示 。 


* (1-63 字 禄 ) 
(0-127 字 多 
*(0-255 ，0 优 先 豚 最 高 ) 


图 2-81 添加 连接 联通 路 由 信息 


(24) 在 弹出 的 “添加 网 关 ” 界 面 中 .输入 连接 ge3 接口 的 Web 服务 器 对 应 IP 地 址 
“110. 69. 20. 100”, 用 于 模拟 联通 服务 器 ,在 “权重 ”中 输入 255, 如 图 2-82 所 示 。 
(25) 单 击 “ 确 定 ” 按 钮 ,返回 “添加 ISP 路 由 ”界面 ,确认 路 由 信息 是 否 无 误 ,如 图 2-83 
所 示 。 
(26) 单 击 “ 确 定 ” 按 钮 ,返回 “ISP 路 由 ”列表 ,可 显示 添加 的 两 条 ISP 路 由 信息 ,如 
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图 2-84 所 示 。 


网 关 地 址 。 | 110.69.20.100 


权重 255 * (1-255) 
探测 | 请 迁 怪 探测 
确定 取消 
图 2-82 配置 路 由 网 关 
添加 ISP 路 由 x 
名称 [ 连 这 联 本 路 由 + 0-63 字 和 站 
搞 述 (0-127 字 稳 ) 
优先 级 |255 ”(0-255 ，0 优 先 豚 最 高 ) 
ISP 名 称 。 | 中 国联 通 A 
启用 
网关 [十 活 ] [Os 


口 - 3 | 权重 | 探测 | 所作 
口 110.69.20.100 255 ” 


图 2-83 ”确认 连接 联通 路 由 信息 


策略 路 由 ISP 路 由 ISP 信 息 


十 夭 加 OD mm 山 清除 命中 娄 C mi 
二 名 称 ISP 名 称 网 和 优先 氢 命中 效 启用 拯 作 
口 ] 连 技 电信 路 由 中 国电 信 124.16.8.100 255 本 回 

连接 联通 路 自 中 国联 通 110.69.20.100 255 a 


2-84 ISP 路 由 信息 列表 


(27) 现 有 网 络 中 包含 两 个 ISP 路 由 信息 .需要 在 静态 路 由 中 配置 一 个 默认 路 由 。 单 
击 “ 网 络 配 置 ”>“ 路 由 ”一 “静态 路 由 ”, 显 示 当 前 的 静态 路 由 列表 ,如 图 2-85 所 示 。 

(28) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 静态 路 由 ”界面 中 ,“ 目 的 地 址 / 掩 码 ” 保 留 默 
认 的 “0.0.0.0/0.0.0.0”,“ 类 型 "选中 “网 关 ” 单 选 按钮 ,在 “网 关 ” 中 输入 ge2 口 对 应 的 IP 
地 址 “124. 16. 8. 100”, 如 图 2-86 所 示 。 

(29) 单 击 “ 确 定 ” 按 钮 ,返回 “静态 路 由 ”列表 ,显示 当前 添加 的 静态 路 由 ,如 图 2-87 
所 示 。 
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面板 分 析 中 心 数据 中 心 处 置 中 心 策略 配置 对 多 配置 [ 


四 sn 静态 路 由 
Se 
加 vaN 门 目的 地 址 / 掩 码 网 关 
演 桥 
念 ons < 
中 DHcp < 
识 Anp < 
MAC < 
中 中 v 
逢 意 路 由 
图 2-85 静态 路 由 列表 
0.0.0.0/0.0.0.0 
辐 网 关 
124.16.8.100 
| 
图 2-86 ”添加 默认 路 由 
Per 
十 Dm Cm 
roma me en ww 


图 2-87 静态 路 由 列表 (已 添加 静态 路 由 ) 


(30) 配置 对 象 类 型 为 后 续 NAT 策略 做 准备 。 单 击 * 对 象 配 置 ”地 址 ”> 地址 ”， 
显示 当前 的 地 址 对 象 列表 ,如 图 2-88 所 示 。 


面板 分 析 中 心 数据 中 心 处 置 中 心 


地 址 
[Fm] [Dw ] [CW ] 
地 址 组 口 识 Fn 
服务 器 地 址 ba 0.0.0.0/0, =/0 


图 2-88 ”地 址 对 象 列表 
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(31) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 地 址 ”界面 中 ,在 “名 称 ” 中 输入 “内 网 地 址 ”， 


“IP 地 址 ”中 输入 ge4 接口 对 应 的 内 网 地 址 段 *172. 16. 1.0/24”, 如 图 2-89 所 示 。 


名 称 。 | 内 网 地 址 |* (1-63 字 初 
搞 述 | (0-127 字 初 


iP 地址 @ [172.16.1.0/24 


图 2-89 添加 内 网 地 址 对 象 


(32) 单 击 “ 确 定 ” 按 钮 ,返回 地 址 ”列表 ,显示 添加 的 内 网 地 址 对 象 ,如 图 2-90 所 示 。 


地 址 
十 zi ][ Daw |[ Cm | 


Ds 地 址 
any 0.0.0.0/0, xy0 
口 内 网 地 址 172.16.1.0/24 


图 2-90 ”地址 对 象 列表 (已 添加 内 网 地 址 对 象 ) 


(33) 配置 NAT 策略 。 单 击 “ 策 略 配置 ”一 “NAT 策略 ”, 在 " 源 NAT” 标 签 页 中 ,显示 
当前 的 源 NAT 列表 ,如 图 2-91 所 示 。 


三” 安 全 第 略 源 NAT 目的 NAT NAT64 
国 NAT 和 由 (+m |] [Dm ][ tams ] [as Westm ][ Cm |] 
国 安全 认证 口 g 亚 地 址 | 目的 地 址 | 


图 2-91 “ 源 NAT” 标 签 页 


(34) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 源 NAT” 界 面 中 ,在 “名 称 ” 中 输入 “内 网 
NAT 转换 ”, 在 “转换 前 匹配 ”一 栏 中 ,“ 源 地 址 类 型 ”选中 “地 址 对 象 ” 单 选 按钮 ,“ 源 地 址 ” 
设置 为 刚刚 创建 的 “内 网 地 址 ”.“ 目 的 地 址 类 型 "选中 “地 址 对 象 ” 单 选 按钮 ,“ 目 的 地 址 ” 
“服务 “出 接口 ” 均 设 置 为 any, 如 图 2-92 所 示 。 

(35) 在 “转换 后 匹配 ”一 栏 中 ,“ 地 址 模式 ”选中 “动态 地 址 ” 单 选 按钮 ,“ 类 型 "设置 为 
BY_ROUTE, 如 图 2-93 所 示 。 

(36) 单 击 “ 确 定 ” 按 钮 .返回 “ 源 NAT” 列 表 , 显 示 添 加 的 NAT 策略 ,如 图 2-94 所 示 。 


me 第 


2 章 


防火 墙 网 络 部 署 mm 


名 称 | 内 网 NAT 转 换 


源 地 址 类 型 ” @ 地 址 对 象 〇 Ip 地 址 


目的 地 址 类 型 ”图 地 址 对 象 〇 IP 地 址 


* (1-63 字 和 禄 ) 
(0-127 字 初 


图 2-93 配置 NAT 转换 策略 (转换 后 ) 


Fra 
[Crm] (Om (im Cs me | (Cw ) 
0 Ta ee me an 
mm PE ~ ~ ~ 


图 2-94 源 NAT 策 略 列表 


【实验 预期 】 
内 网 用 户 可 访问 不 同 出 口 的 Web 服务 器 页 面 。 


【实验 结果 】 
1) 内 网 用 户 访问 电信 出 口 Web 服务 器 


(1) 登录 实验 平台 中 对 应 实验 拓扑 中 右 侧 的 虚拟 机 ,如 图 2-95 所 示 。 
(2) 在 虚拟 机 桌面 上 ,双击 火狐 浏览 器 的 快捷 图 标 ,运行 火狐 浏览 器 ,如 图 2-96 


所 示 。 


(3) 在 地 址 栏 中 输入 模拟 电信 Web 服务 器 IP 地 址 “124. 16. 8. 100”, 在 浏览 器 中 可 


显示 网 站 内 容 , 如 图 2-97 所 示 。 


(4) 综 上 所 述 ,内 网 用 户 可 访问 模拟 电信 服务 器 的 Web 服务 器 网 站 ,满足 预期 要 求 。 


2) 内 网 用 户 访问 联通 出 口 Web 服务 器 


(1) 在 虚拟 机 的 火狐 浏览 器 中 , 单 击 上 方 的 “十 ”, 新 开 一 个 标签 页 ,如 图 2-98 所 示 。 
(2) 在 新 标签 页 的 地 址 栏 中 输入 模拟 联通 Web 服务 器 IP 地 址 “110. 69. 20. 100”, 可 
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Web 服 务 器 : 124.16.8.100/24 


ge2: 124.16.8.1 


ge3: 110.69.20.100 


Web 服 务 器 : 110.69.20.100/24 


ge4: 172.16.1.1/24 


PC1: 172.16.1.100/24 


gel: 10.0.0.1 


管理 机 : 10.0.0.44/24 
(以 实际 IP 地 址 为 准 ) 


图 2-95 登录 虚拟 机 


图 2-96 ”运行 火狐 浏览 器 

正常 显示 网 站 页 面 ,如 图 2-99 所 示 。 
(3) 综 上 所 述 , 内 网 用 户 可 访问 模拟 联通 服务 器 的 Web 服务 器 网 站 ,满足 预期 要 求 。 
【实验 思考 】 


(1) 对 于 需要 特定 链 路 传输 的 数据 ,比如 从 1 号 接口 流入 的 数据 ,还 需要 在 1 号 接口 
流出 ,需要 配置 什么 参数 才 可 以 实现 这 种 需求 ? 


(2) 设置 ISP 路 由 信息 时 ,如 果 无 法 将 需要 访问 的 互联 网 地 址 全 部 定义 到 ISP 路 由 
表 中 ,解决 方法 是 什么 ? 
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2-97 访问 电信 Web 服务 器 


国 骑士 P 高 请 人 才 系统 brm… Xx 


124. 16.8, 100 


I) 


欢迎 来 到 骑士 人 才 系 统 ! [登录 | 。 [免费 注册 ] 


只 名 5 


图 2-98 新 开 一 个 标签 页 


110.69.20.100 


€)G 


Le © | 124.16.8.100 CG ||Q 搜索 

欢迎 来 到 骑士 人 才 系 统 ! [登录 | [免费 注册 ] 保存 到 桌面 
尖 看 三 0My8 " 注 

得 信 息 。 微 招聘 。。 求职 信息 。 未 工具 箱 ”新 闻 资 讯 。 会 员 中 心 进入 

当前 位 置 ， 网 站 首页 

| 搜索 职位 企业 总 外 : 0 有效 职 位 : 0 有效 简历 :0 会员 总 禾 ; 0 | 
热门 关键 字 : 销售 代表 销售 经 理会 计 镇 售 工程 师 销售 助兴 过 昭雪 索 册 位 。 过 标 和 地 过 位 | | 
最 新 下 载 简历 堆 下 载 了 我 的 简历 * 马上 和合 至 二 各 ”本 周 热点 职位 ws | 


WT a 


网 奇 ESHOP 商 城 购物 系统 到 


Www.wqeshop.com 


人 商 芒 动态 
四 


+ 网 奇 Eshop 5.5 隔 隆重 出 纺 
+ 网 奇 Eshop 5.5 版 隆重 出 炉 
+ 网 畜 Eshop 5.5 版 隆重 出 炉 
+ 网 畜 Eshop 5.5 版 隆重 出 炉 
+ 网 奇 Eshop 5.5 版 隆重 出 纺 
+ 网 奇 Eshop 5 .5 版 隆重 出 纺 
+ 网 奇 Eshop 5.5 隔 隆重 出 纺 


品牌 航 码 | 品牌 家 电 | 时 尚美 食 | 早春 新 装 | 伴娘 礼服 | 热 销 韩 关 | 


2-99 访问 联通 Web 服务 器 
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23 ”地 址 转换 及 IP 地 址 管理 


2.3.1 防火 墙 源 NAT 实验 


【实验 目的 】 
管理 员 通 过 配置 防火 墙 的 源 NAT, 实 现 内 网 用 户 访问 外 网 时 ,发 送 的 数据 包 经 过 防 
火 墙 转换 源 地 址 或 源 端 口 ,将 内 网 主机 的 IP 地 址 变换 成 为 网 关 的 互联 网 IP。 


【知识 点 】 
源 NAT、 对 象 管理 、 安 全域 .安全 策略 。 


【场景 描述 】 

A 公司 对 于 公司 内 网 的 安全 非常 重视 ,因此 采购 了 一 台 防 火 墙 来 保障 公司 内 网 的 安 
全 ,现在 这 台 防 火 墙 部 署 在 公司 的 出 口 ,领导 希望 公司 内 部 的 员工 可 以 通过 防火 墙 上 网 ， 
但 是 运营 商 只 给 了 安全 运 维 工 程 师 一 个 公 网 地 址 ,请 思考 应 如 何 通 过 配置 防火 墙 来 实现 
公司 内 网 用 户 访问 互联 网 。 


【实验 原理 】 

网 络 地 址 转换 技术 是 一 种 将 私有 (保留 ) 地 址 转化 为 公有 (合法 )IP 地 址 的 转换 技术 。 
地 址 转换 主要 用 在 内 部 网 络 的 IP 地 址 是 无 效 地 址 或 网 络 管理 员 希 望 隐 藏 内 部 网 络 IP 地 
址 的 情况 下 。NAT 技术 不 仅 能 解决 IP 地 址 不 足 的 问题 ,还 能 隐藏 内 部 网 络 的 IP 地 址 和 
拓扑 结构 ,有 效 避 免 来 自 网 络 外 部 的 攻击 ,加强 内 部 网 络 的 安全 性 。 


【实验 设备 】 

。 安全 设备 : 防火墙 设备 1 台 。 

。 主机 终端 : Windows Server 2003 SP2 主机 1 台 , Windows XP 主机 1 台 , Windows 7 
主机 1 台 。 


【实验 拓扑 】 
实验 拓扑 如 图 2-100 所 示 。 


ge2: 124.16.8.1/24 


Web 服 务 器 : 124.16.8.100/24 
GW: 124.16.8.1 


PC1: 172.16.2.100/24 
gel:10.0.0: GW: 172.16.2.1 


管理 机 : 10.0.0.44/24 
(以 实际 人 P 地 址 为 准 ) 
2-100 防火墙 源 NAT 实验 拓扑 
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【实验 思路 】 

(1) 配置 防火 墙 接口 和 安全 域 。 

(2) 配置 对 象 管理 基于 安全 域 的 安全 策略 。 

(3) 配置 源 NAT 策略 。 

(4) 外 网 接收 到 的 对 应 数据 包 中 来 源 IP 地 址 应 为 防火 墙 的 对 外 IP 地 址 。 


【实验 要 点 】 

下 一 代 防 火 墙 管 理 员 可 依次 单 击 “ 策 略 配 置 ">“NAT 策略 ”, 添 加 并 配置 源 NAT, 来 
实现 防火 墙 对 内 网 的 IP 地 址 转换 ,使 数据 包 中 的 源 地 址 显示 为 指定 的 IP 地 址 ,从 而 达到 
隐藏 内 部 IP 地 址 的 目的 。 


【实验 步骤 】 

(1) 一 (3) ,登录 并 管理 防火 墙 ,检查 防火 墙 的 工作 状态 。 

(4) 配置 网 络 接口 。 单 击 面 板 上 方 导航 栏 中 的 “网 络 配 置 ">“ 接 口 ”, 显 示 当 前 接口 
列表 , 单 击 ge2 右 侧 “操作 ”中 的 笔 形 标志 ,编辑 ge2 接口 设置 。 

(5) 在 弹出 的 “编辑 物理 接口 ?界面 中 ,ge2 是 模拟 连接 Internet 的 接口 ,因此 “安全 
域 " 选 择 untrust， 工 作 模式 ?选中 * 路 由 模式 ” 单 选 按钮 ,在 “本 地 地 址 列表 ”中 的 “IPv4? 标 
签 栏 中 , 单 击 “十 添加 ”按钮 。 

(6) 在 弹出 的 “添加 IPv4 本 地 地 址 ”界面 中 ,在 “本 地 地 址 ”中 输入 ge2 对 应 的 IP 地 
址 “124. 16. 8. 1”,“ 子 网 掩 码 ” 中 输入 “255. 255. 255. 0”,“ 类 型 ”设置 为 float, 如 图 2-101 
所 示 。 


124.16.8.1 


255.255.255.0 


float 


图 2-101 输入 ge2 对 应 的 IP 地址 


(7) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 .确认 ge2 接口 信息 是 否 无 误 。 

(8) 单 击 “ 确 定 ” 按 钮 ,返回 “接口 "列表 ,继续 单 击 ge3 右 侧 的 笔 形 标志 ,编辑 ge3 接 
口 信息 。ge3 接口 模拟 连接 公司 内 网 ,因此 * 安 全域 ?选择 trust. “工作 模式 ”选中 “路 由 模 
式 " 单 选 按钮 ,在 “本 地 地 址 列表 ”一 栏 中 , 单 击 *IPv4” 一 栏 中 的 “十 添加 ”按钮 。 

(9) 在 弹出 的 “添加 IPv4 本 地 地 址 ”界面 中 ,在 “本 地 地 址 ”中 输入 ge3 对 应 的 IP 地 
址 “172. 16. 2.1”,“ 子 网 掩 码 ” 中 输入 “255. 255. 255.0”, 如 图 2-102 所 示 。 

(10) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 .确认 ge3 接口 信息 是 否 无 误 。 

(11) 单 击 “ 确 定 ” 按 钮 ,返回 “接口 "界面 ,查看 ge2 和 ge3 接口 信息 ,如 图 2-103 所 示 。 

(12) 网 络 接口 设置 完成 后 ,进行 对 象 配置 。 单 击 上 方 导 航 栏 中 的 “对 象 配 置 ” 一 “地 
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址 ”>“ 地 址 ”, 显 示 当 前 的 地 址 对 象 列表 ,如 图 2-104 所 示 。 


添加 IPv4 本 地 地 址 x 


本 地 地 址 [172.16.2.1 
子 网 挤 码 。 | 255.255.255.0| 
美 型 “| float ~ 


Cm Ww ] 


图 2-102 编辑 ge3 接口 信息 


[ 
[Fm] [om] [Cw] sa | [wn 
过 

Inex om ca 5 器 机 mm sm mn 
“ mee 。 本 四 日 5 / 
he 0 nm 日 a GS EA 
; ee ve. 站 a 加 / 
Mtoe 四 a a , 台 7 


图 2-103 “接口 ?列表 


面板 分 析 中 心 数据 中 心 处 置 中 心 策略 配置 
Er “| er 
[ 士 各 ] (Dm ][( Ca | 
地 址 组 Dg 地 址 
局 any 0000/0. xy0 
VPN 地 址 池 


图 2-104 “地 址 ”标签 页 


(13) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 地 址 ”界面 中 ,在 “名 称 ” 中 输入 “内 网 地 址 
段 ”",“IP 地 址 ”中 输入 ge3 口 对 应 的 IP 地 址 段 “172. 16. 2.0/24”, 如 图 2-105 所 示 。 


ED 画 


名称 | 内 网 地 址 自 | 0-63 字 和 
搞 述 ] o-zz 字 mp 
iP 地 址 @ 172.16.2.0/24 


图 2-105 添加 内 网 地 址 段 对 象 


(14) 单 击 “ 确 定 ” 按 钮 .返回 “地 址 ”列表 ,可 查看 添加 的 内 网 地 址 段 对 象 ,如 图 2-106 
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所 示 。 
[Ff] Em] [CG] Pr 
Dr aa 。 / 


图 2-106 地址 对 象 列表 


(15) 配置 地 址 对 象 后 ,配置 基础 安全 策略 。 单 击 上 方 导航 栏 中 的 “策略 配置 "一 “ 安 
全 策略 ”, 显 示 当 前 的 安全 策略 列表 ,如 图 2-107 所 示 。 


WY mam 安全 策略 元 余 策 略 

NAT 第 略 [+ ] [加 sm ] ( 口 We | ( 18 ] ( 二 沽 e 全 | 
园 六 全 让 < | 了 肥 且 要 人 二 目的 安全 域 
图 ssL 租 这 策略 


2-107 “安全 策略 "标签 页 


(16) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 安全 策略 ”界面 中 ,在 “名 称 ” 中 输入 “内 网 访 
问 外 网 ”,“ 动 作 ” 选 中 “允许 ” 单 选 按钮 ,“ 源 安全 域 ” 设 置 为 trust,“ 目 的 安全 域 设 置 为 un- 
trust,“ 源 地 址 /地 区 ”设置 为 “内 网 地 址 段 ”,“ 目 的 地 址 /地 区 ”服务 ”应 用 ” 均 设 置 为 
any, 如 图 2-108 所 示 。 


添加 安全 第 略 [加 | 
名 称 | 内 网 访问 外 网 * (1-63 字 49) 
搞 述 (0-127 闻 知 ) 
启用 加 
动作 ”图 允许 〇 拒绝 〇 安全 连接 ( 伴 道 ) 
源 安全 域 trust ~ 
目的 安全 域 untrust ~v 
源 用户 请 选择 源 用 户 
源 地 址 /地 区 内 网 地 址 处 
目的 地 址 /地 区 any 
服务 any 
应 用 |any 
来 自 磋 道 请 选择 研 道 
时 间 请 选择 时 间 
VLAN 请 输入 VLAN 
( 取 值 范围 0-4094 , 格式 : 1,3,5-10,12) 到 
[Ca] 


图 2-108 ”添加 基本 安全 策略 
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(17) 单 击 “ 确 定 ” 按 钮 ,返回 “安全 策略 ”列表 ,可 查看 添加 的 安全 策略 ,如 图 2-109 
所 示 。 


rr 

Fm | [Gm | (Ow [Wm hws [Cw ] Cr 
Dm es es Pe es me 加 ma semi 上 
LDLamamna re 全 sam 三 Miss a a ne 2 0 . 


图 2-109 安全 策略 列表 


(18) 至 此 ,完成 防火 墙 基本 网 络 的 配置 。 


【实验 预期 】 

(1) 内 网 主机 可 正常 浏览 外 网 Web 服务 器 。 

(2) 在 外 网 主机 中 抓 取 的 数据 包 中 包含 内 网 主机 的 IP 地 址 。 

(3) 在 防火 墙 中 添加 源 NAT 策略 后 ,在 外 网 主机 中 抓 取 的 数据 包 中 仅 包 含 防火 墙 对 
外 IP 地址 ,不 包含 内 网 IP 地 址 。 


【实验 结果 】 
1) 内 网 主机 访问 外 网 Web 服务 器 
(1) 登录 实验 平台 中 对 应 实验 拓扑 右 侧 的 虚拟 机 PC1, 如 图 2-110 所 示 。 


ge2: 124.16.8.1/24 ge3: 172.16.2.1/24 


Web 服 务 器 : 124.16.8.100/24 
GW: 124.16.8.1 


PC1: 172.16.2.100/24 


gel: 10.0.0.1 
GW: 172.16.2.1 


管理 机 : 10.0.0.44/24 
(以 实际 IP 地 址 为 准 ) 


2-110 登录 虚拟 机 


(2) 双击 桌面 的 火狐 浏览 器 快捷 图 标 ,运行 火狐 浏览 器 ,如 图 2-111 所 示 。 


图 2-111 
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(3) 在 地 址 栏 中 输入 Web 服务 器 的 IP 地 址 ”124. 16. 8. 100”, 可 正常 显示 网 页 内 容 ， 
如 图 2-112 所 示 。 


癌 荣 士 PF 高 端 人 才 采 统 (rew… 关 


| © |124.16.8.100 X || QQ 搜索 


欢迎 来 到 骑士 人 才 系统 ! [登录 | [免费 注册 ] 保存 到 案 面 


只 加 M5 


招聘 信息 。 微 招聘 。 “求职 信息 。 了 工具 箱 ”新 闻 资 讯 。 会 员 中 心 。 进入 论坛 


当前 位 置 ， 网 站 首页 
搜索 职位 企业 总 杖 :0 ”有 效 职位 ，0 ”有 效 简历 0 会员 总 状 :， 0 
请 纺 入 职 但 各 称 坊 散 特 学 校 等 关键 李 鼠 近 更 新 职位 写字 楼 搜索 职位 
热门 关键 字 : 销售 代表 ”销售 经 理 会 计 销售 工程 师 销售 助理 御 路 搜索 职位 按 标 怎 搜索 职位 
最 新 下 载 简 历 谁 下 载 7 我 的 简历 ? 马上 司 孙 查看 。 ”本 周 热 点 职位 更 多 


图 2-112 访问 Web 服务 器 


(4) 综 上 所 述 , 内 网 主机 可 正常 访问 外 网 Web 服务 器 ,满足 预期 要 求 。 
2) 在 外 网 主机 抓 取 数据 包 
(1) 继续 在 Windows XP 虚拟 机 中 单 击 “ 开 始 ” 一 命令 提示 符 ”, 如 图 2-113 所 示 。 


二 Internet Explorer 


@) Ps 


PoE 


所 有 程序 @) 了 如 EW... 


国 io @|xnw 


a ) 骑士 Ff 高 六 人 才 


图 2-113 运行 命令 提示 符 程序 
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(2) 在 弹出 的 “命令 提示 符 ” 界 面 中 ,输入 命令 “ping -t 124. 16. 8. 100”, 该 命令 表示 一 直 
执行 “ping 124. 16. 8. 100”, 可 通过 按 Ctrl 十 C 键 终止 该 命令 的 执行 ,如 图 2-114 所 示 。 


命令 提示 符 - ping -t 124.16.8.100 


图 2-114 发 送 ping 命令 
(3) 登录 实验 拓扑 左 侧 的 虚拟 机 ,如 图 2-115 所 示 。 


国 ge2: 124.16.8.1/24 四 ge3: 172.16.2.1/24 
NGFW | 


Web 服 务 器 : 124.16.8.100/24 
GW: 124.16.8.1 gel: 10.0.0.1 


es 


.0.44/24 
为 准 ) 


图 2-115 登录 左 侧 虚拟 机 


(4) 双击 桌面 上 的 Wireshark 快捷 图 标 ,运行 Wireshark 软件 ,如 图 2-116 所 示 。 
(5) 在 Wireshark 软件 界面 , 单 击 左 侧 网 卡 列 表 中 的 网 卡 ,之 后 再 单 击 Start 按钮 ,如 
图 2-117 所 示 。 


The Wireshark Wetwork Analyrer [Wireshark 1.8.3 (| 
Be Edt Vew go Capture Anayre Statstics Telephony 
CU 


Filter: [ 


The World's Most Po 


Interface List 


[E re 
ey 


(ER) Intel (R) PRO/1000 NT Network Connestioa 


so capture fr 


下 


我 的 电脑 


到 


图 2-116 运行 Wireshark 软件 图 2-117 选择 网 卡 抓 取 数 据 包 
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(6) Wireshark 软件 开始 抓 取 数据 包 , 可 看 到 抓 取 的 数据 包 中 包含 内 网 段 *172. 16. 2. 
100” 的 IP 地 址 ,如 图 2-118 所 示 。 


1EADGT49D} [Vireshark 1.8.3 (GY DPI 


图 2-118 抓 取 数 据 包 


(7) 综 上 所 述 ,外 网 抓 取 的 数据 包 中 包含 内 网 地 址 段 的 IP 地 址 ,满足 预期 要 求 。 

3) 配置 源 NAT 策略 后 抓 取 数 据 包 中 不 包含 内 网 地 址 段 的 IP 地 址 

(1) 返回 防火 墙 的 Web UI 界 面 , 单 击 上 方 导航 栏 中 的 “策略 配置 ”~~“NAT 策略 ”， 
显示 当前 的 NAT 策略 列表 ,如 图 2-119 所 示 。 


目的 NAT NAT64 


Dw |[ 18 Ws ] [十 Netw 
| 天 地 址 


图 2-119 NAT 策略 列表 


(2) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 源 NAT” 界 面 中 ,在 “名 称 ” 中 输入 “ 源 NAT 
转换 ”; 在 “转换 前 匹配 ”一 栏 中 ,“ 源 地 址 类 型 ”选中 * 地 址 对 象 ” 单 选 按钮 ,“ 源 地 址 ”设置 为 
“内 网 地 址 段 ”,“ 目 的 地 址 类 型 ”选中 “地 址 对 象 ” 单 选 按 钮 “目的 地 址 “服务 “出 接口 " 均 
设置 为 any; 在 “转换 后 匹配 ”一 栏 中 ,“ 地 址 模式 ”选中 “动态 地 址 ” 单 选 按钮 “类 型 "设置 
为 “BY_ROUTE”, 如 图 2-120 和 图 2-121 所 示 。 


添加 源 NAT x 


名 称 ”| 源 NAT 转 换 "01-63 字 壬 
接 述 (0-127 字 称 


目的 地 址 关 型 。@@ 地址 对 铺 〇 IP 地 址 


2-120 配置 源 NAT 策略 
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图 2-121 配置 源 NAT 策略 (转换 后 ) 


(3) 确认 设置 无 误 后 , 单 击 “ 确 定 ” 按 钮 ,返回 源 NAT 策略 列表 ,可 查看 添加 的 源 
NAT 策略 ,如 图 2-122 所 示 。 


Pr 
[mm] [Ew ] C4 orm ] EC 
Tm mu roe I sn ed nm mm 
J rem me 出 _ ye ao 加 了 


图 2-122 源 NAT 策略 列表 


(4) 防火 墙 源 NAT 策略 配置 完成 后 ,返回 实验 拓扑 左 侧 的 74CMS 虚拟 机 中 ,运行 
Wireshark 软件 ,查看 抓 取 的 数据 包 中 的 内 容 , 可 看 到 仅 包含 防火 墙 和 Web 服务 器 本 身 
的 IP 地 址 信息 ,内 网 地 址 段 的 IP 已 被 转换 ,如 图 2-123 所 示 。 


0A-8973-48C3-BT39-BPS1E4D6T49 有 


k 1.6.3 BVI]E 


图 2-123 再 次 抓 取 数 据 包 
(5) 综 上 所 述 ,配置 源 NAT 策略 后 ,外 网 主机 抓 取 的 数据 包 中 已 没有 内 网 地 址 段 的 
IP 地 址 信息 ,满足 预期 要 求 。 


【实验 思考 】 
(1) 源 NAT 策略 配置 地 址 模式 时 ,动态 地 址 和 静态 地 址 分 别 对 应 何 种 映射 关系 ? 


(2) 如 果 使 用 中 需要 放行 IPSec VPN , 源 NAT 转换 类 型 需要 选择 哪 一 种 方式 才 可 正 
常 使 用 ? 
2.3.2 防火 墙 目 的 NAT 实验 


【实验 目的 】 
管理 员 通 过 在 防火 墙 配置 目的 NAT 转换 策略 ,实现 将 内 网 服务 器 地 址 映射 为 外 网 


地 址 ,外 网 用 户 使 用 映射 的 外 网 地 址 实现 访问 内 网 服务 器 的 目的 ,从 而 达到 保护 内 网 服务 
器 安全 的 目的 。 
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【知识 点 】 
目的 NAT. 安 全域, 安 全 策略 。 


【场景 描述 】 

A 公司 新 开发 了 一 项 业务 ,需要 互联 网 的 外 部 用 户 使 用 该 业务 。 但 是 ,该 业务 的 服 
务 器 被 架设 在 公司 内 部 的 局 域 网 中 ,外 部 用 户 无 法 访问 。 于 是 经 理 找到 安全 运 维 工 程 师 ， 
让 他 通过 对 防火 墙 的 配置 来 实现 外 部 用 户 访问 一 项 业务 ,请 思考 应 如 何 配置 防火 墙 实 现 
这 一 需求 。 

【实验 原理 】 

目的 地 址 转化 是 NAT 转换 的 一 种 类 型 ,实现 一 个 内 部 地 址 对 外 提供 服务 ,外 部 用 户 
通过 访问 对 外 服务 的 地 址 (目的 地 址 ) ,实现 对 内 部 地 址 的 访问 。 解 决 内 部 地 址 在 公共 网 
络 无 法 录用 和 地 址 隐藏 的 目的 。 


【实验 设备 】 
。 安全 设备 : 防火 墙 设备 1 台 。 
。 主机 终端 : Windows Server 2003 SP1 主机 2 台 ,Windows 7 主机 1 台 。 


【实验 拓扑 】 
实验 拓扑 如 图 2-124 所 示 。 


| gel: 10.0.0.1/24 包 ge3: 110.69.80.1/24 | 
一 es 


管理 机 : 10.0.0.44/24 PC: 110.69.80.100/24 
(以 实际 IP 地 址 为 准 ) 
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ge2: 172.16.2.1/24 日 


Web 服 务 器 : 172.16.2.100/24 
图 2-124 防火 墙 目 的 NAT 实验 拓扑 


【实验 思路 】 

(1) 配置 防火 墙 接口 所 属 安全 域 。 
(2) 配置 基于 安全 域 的 安全 策略 。 
(3) 配置 目的 NAT 策略。 


【实验 要 点 】 
下 一 代 防 火 墙 管 理 员 可 单 击 “ 策 略 配 置 ”>“NAT 策略 ”, 添 加 并 配置 目的 NAT, 将 内 
网 服务 器 地 址 映射 为 外 网 地 址 ,使 得 外 网 用 户 可 以 访问 内 网 服务 。 
73 


IE 防火 墙 技 术 及 应 用 实验 指导 Eeessssssse 


【实验 步 又】 

(1) 一 (3) ,登录 并 管理 防火 墙 ,检查 防火 墙 的 工作 状态 。 

(4) 单 击 面板 上 方 导航 栏 中 的 “网 络 配 置 ”, 单 击 ge2 右 侧 “操作 ”中 的 笔 形 标志 ,编辑 
ge2 接口 。 

(5) 本 实验 中 将 ge2 口 IP 设置 为 “172. 16. 2. 1”, 掩 码 为 “255. 255. 255.0”,“ 安 全 域 ” 
设置 为 trust, 后 续 步 骤 按 照 此 要 求 进行 调整 。 在 “编辑 物理 接口 "界面 中 , “工作 模式 ” 选 
中 “路 由 模式 ” 单 选 按 钮 , 单 击 本 地 地 址 列表 中 的 IPv4 标签 列表 中 的 “十 添加 ”按钮 。 

(6) 在 “添加 IPv4 本 地 地 址 ”界面 中 ,在 “本 地 地 址 ”中 输入 本 实验 设 定 的 IP 地 址 
“172. 16. 2. 1”,“ 子 网 掩 码 ” 输 入 “255. 255. 255. 0”,“ 类 型 "保留 默认 值 float, 如 图 2-125 
所 示 。 


添加 IPv4 本 地 地 址 国 


李 地 地 址 [172.16.2.1 
子 网 掩 码 [255.255.255.0 
闫 型 [Float | 


图 2-125 编辑 ge2 接口 IP 地 址 参数 


(7) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 ,再 单 击 “ 确 定 ” 按 钮 ,关闭 “编辑 物理 
接口 ?界面 。 

(8) 在 本 实验 中 将 ge3 口 * 安 全 域 " 设 置 为 untrust,IP 设置 为 “110. 69. 80. 1”, 掩 码 为 
“255. 255. 255. 0”, 后 续 步 又 按照 此 要 求 进行 调整 。 在 “编辑 物理 接口 ?界面 中 ,工作 模 
式 ” 选 中 “路 由 模式 ” 单 选 按 钮 , 单 击 本 地 地 址 列表 中 的 IPv4 标签 列表 中 的 “十 添加 ”按钮 。 

(9) 在 “添加 IPv4 本 地 地 址 ”界面 中 ,在 “本 地 地 址 ”中 输入 本 实验 设 定 的 IP 地 址 
“110. 69. 80. 1”,“ 子 网 掩 码 ” 中 输入 “255. 255. 255. 0”,“ 类 型 "保留 默认 值 float, 如 图 2-126 
所 示 。 


本 地 地 址 | 110.69.80.1 
子 网 掩 码 | 255.255.255.0 


类 型 |float 过 


图 2-126 编辑 ge3 接口 IP 地 址 参数 


(10) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 .确定 接口 的 相关 信息 准确 无 误 后 ， 
再 单 击 “ 确 定 ” 按 钮 ,返回 “接口 "界面 。 查 看 ge2 和 ge3 接口 信息 ,如 图 2-127 所 示 。 


172.16.2.1/255.255.2550 
1 路 由 模式 feg0:216:31fffeel:a80d/64 0 es 国 
ge3 路 由 模式 110.69.80.1/255.255.2550 0 untrust 国 


图 2-127 查看 ge2 和 ge3 接口 信息 
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(11) 单 击 面板 上 方 导航 栏 中 的 “策略 配置 ”, 单 击 左 侧 的 “安全 策略 ”, 在 “安全 策略 ” 
界面 中 单 击 “ 添 加 ”按钮 ,添加 安全 策略 ,如 图 2-128 所 示 。 


国 NAT 第 略 安全 策略 元 全 第 路 


加 安全 还 Cm We TR] ET 
目的 安全 域 源 地 址 /地 区 目的 地 址 /地 区 。 | 服务 应 用 | 时 间 
鲜 SSL 解 密 策 赂 


IP-MAC 绑 定 
回 Qos 

黑白 名 单 

局 会 话 限制 

加 安全 防护 


eg 
图 2-128 添加 安全 策略 


(12) 在 “添加 安全 策略 ”界面 中 ,在 “名 称 ” 中 输入 “目的 NAT 安全 规则 ”, 将 “ 源 安全 
域 "设置 为 untrust,ge2 接口 在 该 域 中 ,“ 目 的 安全 域 " 设 置 为 trust, ge3 接口 在 该 域 中 。 
其 他 保持 默认 配置 ,如 图 2-129 所 示 。 


[um | 
~ 
名 称 [eres * (1-63 字 禄 ) 
据 * | eaz 7 字 知 ) 
启用 四 
动作 © 允许 O 拒 妇 O es 
源 安全 域 | untrust ~ 
目的 安全 域 | trusd 加 


应 用 。 | 请 选择 应 用 或 应 用 组 

来 自 司 道 | 请 渤 择 感 道 v| 
时 间 | 清寺 反对 间 ~| 
VIAN “| 请 从 和 AVLAN 
(他 值 范围 0-4094 , 柯 式 ; 1.3,5-10,12) v 


图 2-129 配置 安全 策略 
(13) 单 击 “ 确 定 按 钮 ,返回 “安全 策略 ?界面 ,发 现 策略 信息 已 被 成 功 添加 , 如 
图 2-130 所 示 。 


(14) 单 击 面板 上 方 的 “对 象 配 置 ”. 单 击 左 侧 的 地址”, 在 “地 址 ”界面 中 单 击 “ 十 添 
加 ?按钮 ,添加 地 址 对 象 .如 图 2-131 所 示 。 
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ee 


国 NA 


元 全 生路 


[tw [Sw [Om |[!iIm | [As |[ Cm | 


seWE ID 二 下 全 二 日 的 安 人 二 tt/ 地 区 目的 地 址 /地 区 
目的 NAT 安 全 规则 urs Bet 
[Si 


amy ay 
间 -MAc 定 

国 oes 

轩 sg 单 

同 和 ism 


® sem 


站 后 到。 划 多 了 天 


tt 


匡 m] [本] [区 
地 it Dem 


ET QI 


i my aaa am 
Vo 

[GE 

ws 

足 a 

Bm 

订 xy 

EE une 

exes 

[Sd 


提现 六 人 和 


:is 
图 2-131 添加 地 址 对 象 


(15) 在 “编辑 地 址 ”界面 中 ,在 “名 称 ” 中 输入 “Web 服务 器 ”, 在 “IP 地 址 ”中 输入 
“172. 16. 2. 100/24”, 如 图 2-132 所 示 。 

(16) 单 击 “ 确 定 ” 按 钮 ,返回 地址 ”界面 , 单 击 “ 十 添加 ”按钮 ,在 “编辑 地 址 ”界面 中 ， 
“名 称 ” 中 输入 “110. 69. 80. 1”,“IP 地 址 ”中 输入 “110. 69. 80. 1”, 如 图 2-133 所 示 。 

(17) 单 击 “ 确 定 ” 按 钮 .返回 地址 ”界面 。 单 击 面板 上 方 的 “策略 配置 ”, 单 击 左 侧 的 
“安全 策略 ”, 在 “安全 策略 ”界面 中 单 击 名 称 为 “目的 NAT 安全 规则 ”的 安全 策略 。 在 “ 编 
辑 安全 策略 ”界面 中 ,“ 源 地 址 /地 区 ”设置 为 any.“ 目 的 地 址 /地 区 ”设置 为 “Web 服务 器 ”， 
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“服务 ”设置 为 “HTTP”,“ 应 用 ”设置 为 any。 其 他 保持 默认 配置 ,如 图 2-134 所 示 。 


Ip 地 址 @。 [172.16.2.100/24 


110.69.80.1 


110.69.80.| 


回 
Untrust 学 六 
et 二 
any 
Web 服 务 器 
HTTP 
any 
请 选择 同道 Y 
请 选择 时 间 bd 
请 给 入 VLAN 
( 嗓 值 范围 0-4094 , 格式 : 1.3.5-10.12) 
口 会 活 开始 口 会 活 结束 
EIEN] 


2-134 ”编辑 安全 策略 


(18) 单 击 “ 确 定 ” 按 钮 。 单 击 面板 上 方 的 “策略 配置 ”, 单 击 左 侧 的 “NAT 策略 ”, 然 后 
单 击 “ 目 的 NAT” 标 签 页 。 在 “目的 NAT” 界 面 中 , 单 击 “ 十 添加 ”按钮 ,添加 目的 NAT 策 
略 , 如 图 2-135 所 示 。 
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国 sw Dm Ta ei BS 和 ED 撞 后 好 让 起 本 ED 


I SREESR 2 ~ sr 


SS 
图 2-135 添加 目的 NAT 策略 


(19) 在 “编辑 目的 NAT” 界 面 中 ,在 “名 称 ” 中 输入 ”Web 服务 器 映射 ",“ 源 地 址 ”设置 
为 any,“ 目 的 地 址 ”设置 为 *110. 69. 80. 1”,“ 服 务 ” 设 置 为 “HTTP”,“ 入 接口 ”设置 为 any。 
其 他 保持 默认 配置 ,如 图 2-136 所 示 。 


名称 | Web 服 务 器 喘 时 ] 0-63 字 稳 
3E 述 | ] o-lz7 字 各 


源 地 址 类 型 。 加 地 址 对 象 。 。 口 Ip 地 址 
源 地 址 | any 
目的 地 址 类 型 加 地 址 对 象 。 。 〇 Jp 地址 
目的 地 址 110.69.8.1 2 
服务 HTTP 
和 BD [any ~ 


地 址 类 型 | IPv4 地 址 。 Y | | 请 给 入 IPv4 地 址 


图 2-136 编辑 目的 NAT 


(20) 在 “转换 后 匹配 ”一 栏 中 ,“ 地 址 类 型 "设置 为 “IPv4 地 址 ”, 并 输入 IP 地 址 “172. 16. 
2.100”,“ 端 口 " 设 置 为 端口”, 输 入 端口 号 80, 目 的 NAT 配置 完毕 ,如 图 2-137 所 示 。 


【实验 预期 】 


(1) 添加 防火 墙 目 的 NAT 之 前 ,外 部 PC 无 法 访问 内 网 Web 服务 器 网 站 。 
(2) 添加 防火 墙 目 的 NAT 之 后 ,外 部 PC 可 以 访问 内 网 Web 服务 器 网 站 。 
【实验 结果 】 

1) 为 防火 墙 配 置 目 的 NAT 后 ,外 部 PC 可 以 访问 Web 服务 器 网 站 


(1) 登录 实验 平台 对 应 实验 拓扑 中 下 方 的 虚拟 机 Web 服务 器 ,进入 外 网 实验 虚拟 机 
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PC, 如 图 2-138 所 示 。 


搞 述 (0-127 字 和 禄 ) 
启用 回 


源 地 址 类 型 。” 回 地 址 对 象 O Ip 地 址 
天地 址 |any 
目的 地 址 类 型 。 轩 地 址 对 象 口 Ip 地 址 
目的 地 址 “| 110.69.8.1 > 


地 址 类 型 | IPv4 地 址 “| | 172.16.2.100 
蘑 D | 端口 Y| |80 * (1-65535) 


图 2-137 编辑 目的 NAT( 转 换 后 ) 


CJ gel: 10.0.0.1/24 


管理 机 : 10.0.0.44/24 
(以 实际 JP 地 址 为 准 ) 


ge3: 110.69.80.1/24 


PC: 110.69.80.100/24 


N 
+ 
Q 
a 
s 
Ci 
R 
后 

名 


Web 服 务 器 : 172.16.2.100/24 
图 2-138 登录 下 方 虚拟 机 


(2) 在 虚拟 机 中 打开 IE 浏览 器 ,在 地 址 栏 输入 “http: //110. 69. 80. 1” ,成功 访问 内 
网 Web 网 站 ,如 图 2-139 所 示 。 

(3) 综 上 所 述 ,通过 设置 目的 NAT, 外 网 主机 可 正常 访问 内 网 Web 服务 器 ,满足 预 
期 要 求 。 

2) 停 用 防火 墙 目的 NAT 策略 ,外 部 主机 无 法 访问 内 部 网 站 

(1) 返回 防火 墙 Web UI 界面 , 单 击 面板 上 方 的 “策略 配置 ”, 单 击 左 侧 的 “NAT 策 
略 ”, 单 击 中 部 “目的 NAT”。 在 目的 NAT“Web 服务 器 映射 "中 ,不 勾 选 “ 启 用 ” 复 选 框 。 
如 图 2-140 所 示 。 

(2) 登录 实验 平台 对 应 实验 拓扑 中 右 侧 的 虚拟 机 PC, 进 入 外 网 实验 虚拟 机 ,如 
图 2-141 所 示 。 

(3) 在 虚拟 机 中 再 次 打开 I 下 浏览 器 ,在 地 址 栏 输 入 “http: //110. 69. 80. 1”, 不 能 访 
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问 内 网 Web 网 站 ,如 图 2-142 所 示 。 


当 骑 士 Pi 高 主人 才 系 统 (vvw. T4cms- com) 一 
文件 如 ”编辑 有 查看 W) 收 疗 刀 ) 工具 GD) 天 助 如 


Nicrosoft Internet Erplorer 


民生 
吴 媚 面 | 失 http://110.69.80 1/ 


对 加 TN5 


招聘 信息 。“ 微 招聘 。 “求职 信息 。 职工 具 箱 ”新 闻 资 讯 。 会 员 中 心 


最 近 更 新 职位 


让 门 关键 字 ， 销 售 代表 销售 经 理 会 计 销售 工程 师 销售 助理 


道路 搜索 职位 


最 新 下 载 简历 谁 下 载 了 我 的 简历 ?马上 于 录 查看 ”本 周 热 点 职位 


BAT | BMNAT NAras 
[Cra] Tm | Ds | eta | [CRS 
Li 


i Nm Fit ms 
WebBSB ny P721631 


二 HT any 


es 
EE 
2 
9 安信 护 


图 2-140 不 启用 目的 NAT 配置 


wapalt WE 
172162100 20 a 


保存 到 桌面 | 网 站 首页 


进入 论坛 


写字 楼 搜索 职位 


控 标 签 搜索 职位 


更 多 


EO | | © 


ECT 
| 


到 示 1-1, 共 1 条 


(4) 综 上 所 述 , 停 用 目的 NAT 策略 后 ,外 网 用 户 不 能 正常 访问 内 网 服务 器 页 面 ,满足 
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gel: 10.0.0.1/24 ge3: 110.69.80.1/24 


管理 机 : 10.0.0.44/24 
(以 实际 下 地 址 为 准 ) 


PC: 110.69.80.100/24 


Web 服 务 器 : 172.16.2.100/24 
图 2-141 登录 右 侧 虚拟 机 


启用 了 Internet Explorer 增强 的 安全 配置 


当前 在 您 的 服务 器 上 启用 了 Internet Explerer 增强 的 安全 配置 。 它 配置 一 些 定义 用 户 如 何 浏览 Internet 和 
企业 内 部 网 站 的 安全 设置 。 人 务 器 的 隐 蔬 性 ， te ph 有 关 
此 配置 的 安全 设置 的 完整 列表 ， TInternet Explorer 


地 者 的 安全 性 阴 上 网站 在 Tatera et Bxplor er 中 正确 显示 ， 并 限制 问 隐 络 吹 温 ， 例 0 在 通用 人 名 约定 
QIC ) 共 享 上 的 文件 。 如 果 您 起 浏览 的 网 站 所 要 求 的 Internet Explorer 功能 被 禁用 ,您 可 以 将 此 网 站 添加 到 本 
入 nemet 包 列 革 任 的 站 有 区 和 关于 息 ， 请 风 和 理 Tnternet Enl re 失 的 安 全 本 


图 2-142 访问 内 部 网 站 失败 
【实验 思考 】 


(1) Web 网 站 的 默认 端口 是 多 少 ? 
(2) 根据 实验 内 容 , 外 网 的 哪个 IP 地 址 被 映射 到 内 网 的 几 号 端口 上 ? 
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2.3.3 防火 墙 地 址 黑 名 单 实验 


【实验 目的 】 

管理 员 可 以 通过 防火 墙 的 地 址 黑 名 单 功能 针对 某 些 非法 的 IP 地 址 或 MAC 地 址 有 
效 地 做 出 拒绝 的 限制 动作 。 

【知识 点 】 

地 址 黑 名 单 . 黑 名 单 策略 。 

【场景 描述 】 

A 公司 的 安全 运 维 工 程 师 发 现 公司 内 有 一 台 PC 不 停 地 发 出 大 量 的 异常 数据 包 , 这 
些 数 据 包 对 网 络 造成 了 很 大 的 影响 ,为 了 快速 恢复 网 络 ,安全 运 维 工程 师 想 先 切断 该 PC 
的 数据 流 , 请 思考 应 如 何 通过 配置 防火 墙 解决 此 问题 。 

【实验 原理 】 

当 防 火 墙 的 地 址 黑 名 单 中 的 IP、.MAC 地 址 命中 地 址 黑 名单 策 略 时 ,数据 包 会 被 防火 
墙 直接 丢弃 。 地 址 黑 名 单 支持 基于 IP 地 址 或 MAC 地 址 的 策略 。 

【实验 设备 】 

安全 设备 : 防火 墙 设备 1 台 。 

主机 终端 : Windows 7 主机 2 台 ,Windows Server 2003 SP1 主机 1 台 。 


【实验 拓扑 】 
实验 拓扑 如 图 2-143 所 示 。 


Web 服 务 器 : 172.16.3.100/24 


管理 机 : 10.0.0.44/24 
(以 实际 耳 地址 为 准 ) 


图 2-143 防火墙 地 址 黑 名 单 实验 拓扑 


【实验 思路 】 

(1) 配置 防火 墙 接 口 。 

(2) 新 建 黑 名 单 ,将 虚拟 机 IP 地 址 添加 到 黑 名 单 。 
(3) 虚拟 机 通过 防火 墙 访问 指定 网 址 。 
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【实验 要 点 】 
下 一 代 防 火 墙 管理 员 可 单 击 “策略 配置 ”~ 黑白 名 单 ”, 设 置 黑 白 名 单 策略 并 设置 生 
效 时 间 。 


【实验 步骤 】 

(1) 一 (3) ,登录 并 管理 防火 墙 ,检查 防火 墙 的 工作 状态 。 

(4) 单 击 面板 上 方 导航 栏 中 的 “网 络 配置 ”, 单 击 ge2 右 侧 “操作 ”中 的 笔 形 标志 ,编辑 
ge2 接口 。 

(5) 本 实验 中 ge2 接口 模拟 连接 外 部 网 络 中 的 一 台 计算 机 ,因此 将 ge2 接口 IP 设置 
为 “192. 16. 2. 1”, 掩 码 为 “255. 255. 255. 0”, 安 全 域 为 any, 后 续 步 又 按照 此 要 求 进行 调 
整 。 在 “编辑 物理 接口 "界面 中 ,“ 工 作 模 式 ” 选 中 “路 由 模式 ” 单 选 按钮 , 单 击 本 地 地 址 列表 
中 的 IPv4 标签 列表 中 的 “十 添加 ”按钮 。 如 果 已 有 IP 地 址 的 设置 , 则 单 击 IP 地 址 右 侧 
“操作 ”的 笔 形 标志 , 视 具体 情况 决定 ,其 他 保持 默认 配置 。 

(6) 在 “添加 IPv4 本 地 地 址 ”界面 中 ,输入 本 实验 设 定 的 IP 地 址 “192. 16. 2. 1”, 该 地 
址 用 于 与 实验 虚拟 机 通信 使 用 ,输入 子 网 掩 码 为 “255. 255. 255. 0”, 类 型 默认 为 float, 如 
图 2-144 所 示 。 


图 2-144 编辑 ge2 接口 IP 地 址 参数 


(7) 单 击 “确定 ”按钮 ,返回 “编辑 物理 接口 ?界面 ,再 单 击 “ 确 定 ” 按 钮 ,关闭 “编辑 物理 
接口 ?界面 。 

(8) 在 本 实验 中 ge3 接口 用 于 连接 公司 内 部 的 Web 服务 器 ,因此 将 ge3 接口 IP 设置 
为 “172. 16. 3. 1”, 掩 码 为 “255. 255. 255. 0”, 安 全 域 为 any, 后 续 步 又 按照 此 要 求 进行 调 
整 。 在 “编辑 物理 接口 ?界面 中 ,工作 模式 ?选中 * 路 由 模式 ? 单 选 按钮 , 单 击 本 地 地 址 列表 
中 的 IPv4 标签 列表 中 的 “十 添加 ”按钮 。 如 果 已 有 IP 地 址 设置 , 则 单 击 IP 地 址 右 侧 “ 操 
作 ” 的 笔 形 标志 , 视 具体 情 况 决定 ,其 他 保持 默认 配置 。 

(9) 在 “添加 IPv4 本 地 地 址 ”界面 中 ,输入 本 实验 设 定 的 IP 地 址 *172. 16. 3. 1”, 该 地 
址 用 于 与 Web 服务 器 通信 使 用 ,输入 子 网 掩 码 为 *255. 255. 255. 0”, 类 型 默认 为 float, 如 
图 2-145 所 示 。 

(10) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 .确定 接口 的 相关 信息 准确 无 误 后 ， 
再 单 击 “ 确 定 ” 按 钮 ,返回 “接口 "界面 ,查看 ge2 和 ge3 接口 信息 ,如 图 2-146 所 示 。 

(11) 单 击 面板 上 方 导航 栏 中 的 “策略 配置 ”, 单 击 左 侧 的 “安全 策略 ”。 在 “安全 策略 ” 
界面 中 , 单 击 “ 十 添加 ”按钮 ,添加 安全 策略 ,如 图 2-147 所 示 。 
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ee 
图 2-145 ”编辑 ge3 接口 IP 地 址 参数 
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图 2-146 查看 ge2 和 ge3 接口 信息 


ER [Ed Sm (Om (se | (és mem [ Ce] 


国 sehE :Dss 天 全 村 Re 才 /地 区 ont /tw i 
[SE 

间 ip-MAc 定 

回 oos 

[GE 

友 SR 出 


四 ib 


4 | 第 [|] RE1 页 | 人 | Smeg 2 ~| 


图 2-147 添加 安全 策略 


(12) 在 “添加 安全 策略 ”界面 中 ,在 “名 称 ” 中 输入 “地 址 黑 名 单 ”, 如 图 2-148 所 示 。 

(13) 单 击 “ 确 定 ” 按 钮 ,关闭 “添加 安全 策略 ”界面 ,成 功 添加 一 条 安全 策略 , 如 
图 2-149 所 示 。 

(14) 单 击 左 侧 的 “黑白 名 单 ”。 在 “地 址 黑 名 单 ? 界 面 中 , 单 击 “十 添加 ?按钮 ,添加 地 
址 黑 名 单 ,如 图 2-150 所 示 。 

(15) 在 “添加 地 址 黑 名 单 ” 界 面 中 ,“ 类 型 ”选中 “IP 地 址 ” 单 选 按 钮 ,在 “IP 地 址 ”中 输 
人 “192. 16. 2.100”, 勾 选 “启用 ” 复 选 框 ,其 他 保持 默认 配置 ,如 图 2-151 所 示 。 

(16) 单 击 “ 确 定 ” 按 钮 ,成 功 添加 一 条 地 址 黑 名 单 .配置 完成 ,如 图 2-152 所 示 。 


【实验 预期 】 
PC 访问 Web 服务 器 网 站 失败 ,同时 防火 墙 中 产生 相关 的 安全 日 志 。 
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图 2-150 ”添加 地 址 黑 名 单 
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图 2-151 设置 地 址 黑 名 单 
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图 2-152 成功 添加 地 址 黑 名 单 


【实验 结果 】 
(1) 进入 实验 平台 对 应 的 实验 拓扑 , 单 击 左 侧 的 计算 机 ,进入 PC, 如 图 2-153 所 示 。 


国 一 一 3 


PC. 2» a 2. 
PC: 192.16.2.100/24 Web 服 务 器 : 172.16.3.100/24 


管理 机 : 10.0.0.44/24 
(以 实际 人 地 址 为 准 ) 


图 2-153 打开 实验 虚拟 机 
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(2) 在 虚拟 机 PC 中 ,打开 火狐 浏览 器 ,在 地 址 栏 中 输入 “172. 16. 3. 100”, 按 Enter 键 
后 执行 ,访问 失败 ,如 图 2-154 所 示 。 


入 毕 客 其 
$$)D 172153100 celaa= 会] 四 鸭 - 妈 会 | 至 


连接 超时 


172.16.3.100 的 服务 器 响应 时 间 过 长 。 

。 此 站 点 和 暂时 不 可 用 或 者 太 忙 。 请 稍 后 再 试 。 

。 如 果 您 无 法 载 入 任何 页 面 ， 请 检查 您 计算 机 的 网 络 连 接 ， 

。 如 果 您 的 计算 机 或 网 终 受 到 防火 寺 驶 者 代理 服务 器 的 保护 ， 请 确认 Firefox 已 被 授权 访问 网 络 .。 


图 2-154 访问 Web 服务 器 网 站 失败 


(3) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 防火 墙 产 品 的 IP 地 址 “https: //192. 
168. 1. 50”( 以 实际 设备 IP 地 址 为 准 ), 进 入 防火 墙 的 登录 界面 。 输 入 管理 员 用 户 名 
admin 和 密码 *!11fw@2soc#3vpn” 登 录 防 火 墙 。 在 面板 上 方 导航 中 单 击 “ 数 据 中 心 ”, 单 
击 左 侧 的 “日 志 ”, 选 择 “ 威 胁 日 志 ”, 发 现 刚 才 虚 拟 机 PC 访问 Web 服务 器 网 站 的 记录 ,如 
图 2-155 所 示 。 
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图 2-155 安全 日 志 
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(4) 单 击 面板 上 方 导 航 栏 中 的 “策略 配置 ”, 单 击 左 侧 的 “黑白 名 单 ”。 在 “地 址 黑白 名 
单 " 界 面 中 , 单 击 唯一 一 条 记录 的 右 侧 “操作 ” 列 的 笔 形 标志 ,如 图 2-156 所 示 。 


地 直 畦 和音 城村 白色 站 


lon [fm] (Hm (smes ](Cmw ] [| 


图 2-156 编辑 地 址 黑 名 单 


(5) 在 “编辑 地 址 黑 名 单 ” 界 面 中 ,不 勾 选 “启用 ” 复 选 框 ,其 他 保持 默认 配置 ,如 
图 2-157 所 示 。 


编辑 地 址 黑 名 单 x 
类 型 。 国 JP 地 址 MAC 地 址 
JP 地 址 | 192162100 
Se 扯 | ~ 
启用 


图 2-157 编辑 地 址 黑 名 单 


(6) 单 击 “确定 ?按钮 ,不 启用 地 址 黑 名 单 的 配置 。 进 入 实验 平台 对 应 的 实验 拓扑 , 单 
击 左 侧 的 计算 机 ,进入 PC。 在 虚拟 机 PC 中 火狐 浏览 器 的 地 址 栏 再 次 输入 “172. 16. 3. 
100”, 按 Enter 键 后 执行 ,成 功 访问 Web 服务 器 网 站 ,说 明 配 置 成 功 ,符合 预期 , 如 
图 2-158 所 示 。 
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图 2-158 成 功 访问 CMS 服务 器 网 站 


【实验 思考 】 

(1) 怎样 通过 在 地 址 黑 名 单 中 设置 MAC 地 址 限制 虚拟 机 的 访问 ? 

(2) 怎样 设置 使 得 虚拟 机 在 8 : 00 一 9 : 00 时 间 段 不 能 访问 Web 服务 器 ? 
(3) 信息 安全 领域 中 的 黑白 名 单机 制 通常 采用 哪 一 种 比较 安全 ? 

(4) 黑白 名 单机 制 之 间 的 区 别 和 特点 是 什么 ? 
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防火 墙 基本 应 用 


本 章 主要 通过 对 实践 案例 的 学 习 , 完 成 下 一 代 防 火 墙 常见 网 络 安全 功能 的 学 习 , 包 括 
防火 墙 服务 和 应 用 管理 策略 设置 ,内 容 安全 管理 策略 设置 ,安全 防护 策略 设置 和 防火 墙 常 
见 网 络 应 用 技术 (VPN 和 QOS 技术 ) 的 部 署 。 通 过 实验 加 深 对 以 上 技术 的 理解 ,掌握 技 
术 的 实际 应 用 场景 ,提升 实践 能 力 。 


31 ”服务 及 应 用 管理 


【实验 目的 】 
管理 员 通 过 引用 预定 义 服务 或 添加 自 定义 服务 来 为 防火 墙 安 全 策略 .NAT 等 规则 
提供 基础 配置 。 


【知识 点 】 
服务 管理 ,目的 NAT 安全 策略 。 


【实验 场景 】 

一 年 前 A 公司 采购 了 一 台 防 火 墙 ,体验 非常 好 ,对 常见 的 应 用 和 服务 的 控制 体验 都 
不 错 。 近 日 ,安全 运 维 工程 师 遇 到 了 一 个 棘手 的 问题 ,公司 最 近 新 开发 了 一 项 服务 ,公司 
领导 要 求 对 这 项 服务 的 访问 进行 控制 ,但 是 由 于 该 服务 是 公司 自己 开发 的 ,防火 墙 的 预 置 
对 象 中 没有 这 项 服务 ,请 思考 应 如 何 通过 配置 防火 墙 解决 这 个 问题 。 


【实验 原理 】 

传统 防火 墙 的 访问 控制 或 流量 管理 粒度 粗放 ,只 能 基于 IP/ 端 口号 (服务 ) 对 数据 流 
量 进 行 全 面 允许 或 禁止 。 下 一 代 防 火 墙 可 以 对 数据 流量 和 访问 来 源 进行 精细 化 的 识别 和 
分 类 (应 用 ) ,对 识别 出 的 应 用 和 用 户 施加 细 粒 度 ` 有 区 别 的 访问 控制 策略 流量 管理 策略 
和 安全 扫描 策略 。 

精细 化 识别 与 分 类 的 实现 方法 : 

(1) 可 从 同一 个 端口 协议 的 数据 流量 中 辨识 出 任意 不 同 的 应 用 。 

(2) 从 无 序 的 IP 地址 中 辨识 出 有 意义 的 用 户 身 份 信息 ,从 而 对 数据 访问 进行 精确 
控制 。 

【实验 设备 】 

。 安全 设备 : 防火 墙 设备 1 台 。 


me 第 3 章 防火 墙 基本 应 用 mm 
。 主机 终端 : Windows XP SP3 主机 1 台 ,Windows Server 2003 SP1l 主机 1 台 ,Windows 7 
主机 1 台 。 


【实验 拓扑 】 
实验 拓扑 如 图 3-1 所 示 。 


置 ge2 


PC: 192.16.2.100/24 


ge3 [| 


Web 服 务 器 : 172.16.3.100/24 


gel: 10.0.0.1/24 |z 


ss 
管理 机 : 10.0.0.44/24 
(以 实际 IP 地 址 为 准 ) 


图 3-1 防火 墙 服务 管理 实验 拓扑 


【实验 思路 】 

(1) 添加 自 定 义 服务 。 

(2) 配置 自 定义 服务 对 象 及 其 参数 。 
(3) 添加 安全 策略 并 引用 服务 对 象 。 
(4) 虚拟 机 访问 Web 服务 器 。 


【实验 要 点 】 

理解 下 一 代 防 火 墙 服务 定义 和 应 用 定义 的 区 别 。 

下 一 代 防 火 墙 管理 员 可 单 击 “ 对 象 配 置 ”~ 服务 ”, 添 加 自 定义 服务 ,之 后 单 击 “ 策 略 
配置 >“ 安全 策略 ”, 添 加 安全 规则 来 引用 服务 对 象 ,使 用 户 能 够 正常 访问 服务 。 


【实验 步 又】 

(1) 一 (3) 登 录 并 管理 防火 墙 ,检查 防火 墙 的 工作 状态 。 

(4) 单 击 面板 上 方 导航 栏 中 的 “网 络 配置 ”, 单 击 ge2 右 侧 “操作 ”中 的 笔 形 标志 ,编辑 
ge2 接口 。 

(5) 本 实验 中 ,ge2 接口 模拟 连接 公司 内 部 网 络 中 的 一 台 计 算 机 ,因此 将 ge2 口 IP 设 
置 为 “192. 16. 2. 1”, 掩 码 为 “255. 255. 255. 0”, 安 全 域 为 trust, 后 续 步 又 按照 此 要 求 进 行 
调整 。 在 “编辑 物理 接口 "界面 中 .“ 工 作 模式 ”选中 “路 由 模式 ” 单 选 按钮 , 单 击 本 地 地 址 列 
表 中 的 IPv4 标签 列表 中 的 “十 添加 ”按钮 。 如 果 已 有 IP 地 址 的 设置 , 则 单 击 IP 地 址 右 侧 
“操作 ?的 笔 形 标志 , 视 具体 情况 决定 。 其 他 保持 默认 配置 。 

(6) 在 “添加 IPv4 本 地 地 址 ”界面 中 ,输入 本 实验 设 定 的 IP 地 址 “192. 16. 2. 1”, 该 地 
址 用 于 与 实验 虚拟 机 通信 使 用 .输入 子 网 掩 码 为 “255. 255. 255. 0”, 类 型 默认 为 float, 如 
图 3-2 所 示 。 
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本 地 地 址 | 192.16.2.1 
子 网 挤 码 。 | 255.255.255.0| 
类 型 | float bd 


[me [ww | 


图 3-2 编辑 ge2 接口 IP 地 址 参数 


(7) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 ,再 单 击 “ 确 定 ” 按 钮 ,关闭 “编辑 物理 
接口 "界面 。 

(8) 在 本 实验 中 ,ge3 口 用 于 模拟 连接 Web 服务 器 ,因此 将 ge3 口 IP 设置 为 “172. 
16. 3. 1”, 掩 码 为 “255. 255. 255. 0”, 安 全 域 为 untrust, 后 续 步 又 按照 此 要 求 进行 调整 。 在 
“编辑 物理 接口 "界面 中 ,“ 工 作 模 式 ” 选 中 “路 由 模式 " 单 选 按钮 , 单 击 本 地 地 址 列表 中 的 
IPv4 标签 列表 中 的 “十 添加 ”按钮 。 如 果 已 有 IP 地 址 设置 , 则 单 击 IP 地 址 右 侧 “操作 ”的 
笔 形 标志 , 视 具体 情况 决定 。 其 他 保持 默认 配置 。 

(9) 在 “添加 IPv4 本 地 地 址 ”中 ,输入 本 实验 设 定 的 IP 地 址 "172. 16. 3. 1”, 该 地 址 用 
于 与 Web 服务 器 通信 使 用 ,输入 子 网 掩 码 为 *255. 255. 255. 0”, 类 型 默认 为 float, 如 
图 3-3 所 示 。 


本 地 地 址 [172.16.3.1 
子 网 掩 码 [255.255.255.0 
尖 型 [float 2 


La 证 wii ] 
图 3-3 ”编辑 ge3 接口 IP 地 址 参数 


(10) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 .确定 接口 的 相关 信息 准确 无 误 后 ， 
再 单 击 “ 确 定 ” 按 钮 ,返回 接口" 界面。 查看 ge2 和 ge3 接口 信息 ,如 图 3-4 所 示 。 


bs Ml foe0-21641F fee L5267/64 0 tt 国 已 目 1 回 Pa 
La 0 ntrust 电 加 1 器 


3-4 查看 ge2 和 ge3 接口 信息 


(11) 单 击 面板 上 方 导航 栏 中 的 “策略 配置 ”, 单 击 左 侧 的 “安全 策略 ”。 在 “安全 策略 ” 
界面 中 , 单 击 “ 十 添加 ”按钮 ,添加 安全 策略 ,如 图 3-5 所 示 。 

(12) 在 “添加 安全 策略 ”界面 中 ,在 名称” 中 输入 “服务 管理 ”, 设 置 “ 源 安全 域 ”为 
trust,“ 目 的 安全 域 ” 为 untrust. 如 图 3-6 所 示 。 

(13) 单 击 “ 确 定 ” 按 钮 ,关闭 “添加 安全 策略 ”界面 。 单 击 面板 上 方 导航 栏 中 的 “对 象 
配置 ”, 单 击 左 侧 的 “服务 ”, 选 择 “ 服 务 ”, 单 击 中 部 界面 的 “ 自 定义 服务 ”"。 在 “ 自 定义 服务 ” 
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界面 中 , 单 击 “ 十 添加 ”按钮 ,添加 服务 ,如 图 3-7 所 示 。 


安全 第 略 i 第 咯 
目 re [Em |] [Dm ] (lw ] [sm ] [Cm ] 
2 去 全 认 延 :ss 下 二 圭 的 全 堵 注 地 址 /地 区 目的 地 址 /地 区 服务 
SSL 解 机 第 略 
IP-MAC 有 证 
国 oos 
由 meee 
会 话 限制 
安全 防护 
一] 
4 | 第 上。 | et1 页 Sra 20 ~| 


添加 安全 第 略 四 
名称 | 服务 管理 
搓 述 
启用 双 
动作 儿 人 省 拒 抱 安全 连接 ( 厂 道 ) 
源 安全 域 trust v 
目的 安全 域 。 | untrus v 


源 用 户 。 | 请 选择 源 用 户 
源 地 址 /地 区 。 | 请 丢 择 或 给 入 源 地 址 /地 区 
目的 地 址 /地 区 。 | 请 选择 或 给 入 目的 地 址 /地 区 


服务 | 请 半径 阴 务 
应 用 。 | 请 渤 择 应 用 或 应 用 组 

来 自 司 道 。 | 请 先 近 万 首 Y 
时 间 ”| 请 渤 经 时 间 be 


VAN | 请 给 和 VLAN 


[w= ] [ms 


图 3-6 设置 安全 策略 


(14) 在 “添加 服务 ”界面 中 ,在 “名 称 ” 中 输入 HTTP Server, 在 “协议 ”处 单 击 “ 十 添 
加 ”按钮 ,添加 此 自 定义 服务 使 用 的 协议 ,如 图 3-8 所 示 。 

(15) 在 协议 界面 中 ,设置 “协议 ”为 TCP,“ 源 端口 ”为 “1-65535”,“ 目 的 端口 ”为 
“80-80”, 如 图 3-9 所 示 。 

(16) 单 击 “ 确 定 ” 按 钮 ,返回 “添加 服务 ”界面 . 单 击 “ 确 定 ” 按 钮 ,返回 “ 自 定义 服务 ” 界 
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面 。 发 现成 功 添加 了 一 条 服务 ,如 图 3-10 所 示 。 


品 过 巴 宇 义 服务 。 ”所 定 服务 


bed Dw [Cw ] 
人 上 ~ Dass (ww ow 
巴 
器 < 
Bg 
TT xm+a 
BE uno 
[Gd ‘ 
EH serene < 
的 > 全 本 时 文件 但 
NH 4 | 知人 | 网 失 1 出 | 》 放生 RE 元 和 路 | 20 | 


图 3-7 添加 自 定义 服务 


添加 服务 x 
名 称 | HTTP Server * (1-63 字 禄 ) 
手术 (0-127 字 褐 
“Ed 
OD wx | RD | Bl 
没有 iD 录 
(032 现 
[w= ws J| 
3-8 添加 协议 


* (0-65535) 


* (0-65535) 


图 3-9 设置 协议 


(17) 单 击 面板 上 方 导航 栏 中 的 “策略 配置 ”, 单 击 左 侧 的 “安全 策略 ”。 在 “安全 策略 ” 
界面 中 , 单 击 “服务 管理 ”安全 策略 。 在 “编辑 安全 策略 "界面 中 ,设置 “服务 ”为 HTTP 
Server。 此 安全 策略 仅 允 许 HTTP Server 服务 通过 ,如 图 3-11 所 示 。 

94 


和 四 第 3 章 防火 墙 基本 应 用 mm 


AI1Raamn1EE3 


BR mm EB] 司 


三 上 ~ Dss 协 泣 引 
TS 过 0 


四 
目的 安全 域 ”| untrust v 入 
ar [We 
源 地 址 /地 区 [any 
目的 地 址 /地 区 。 | any 
县 务 [HTTP Sever 
应 用 [any 
来 自 司 道 。 | 请 壬 每 顺道 v 
时 间 | 请 Se 间 “| 
wan Be 一 
(取舍 范围 0-4094 , 衬 式 - 13.5-1012) 
流星 日 志 会 活 开始 。「 ] 会 话 结束 
^ 高 有 
配 轩 文件 类 型 。 | 一 NONE- ~ 
长 连接 门 启 用 
v 
确定 取消 


图 3-11 编辑 安全 策略 
(18) 单 击 “ 确 定 ” 按 钮 ,关闭 “编辑 安全 策略 ”界面 ,服务 管理 配置 完成 。 
【实验 预期 】 
虚拟 机 只 能 对 Web 服务 器 访问 安全 策略 规定 的 HTTP Server 服务 。 
【实验 结果 】 
(1) 本 实验 安全 策略 允许 通行 的 “HTTP Server” 服 务 仅 支 持 HTTP 类 型 的 TCP 协 
议 ,不 支持 ICMP 协议 。 所 以 虚拟 机 应 该 能 成 功 访问 Web 服务 器 网 站 , 却 不 能 成 功 ping 
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通 它 。 进 入 实验 平台 对 应 的 实验 拓扑 , 单 击 左 侧 的 计算 机 ,进入 PC, 如 图 3-12 所 示 。 


PC: 192.16.2.100/24 Web 服 务 器 : 172.16.3.100/24 


管理 机 : 10.0.0.44/24 
(以 实际 下 地 址 为 准 ) 


3-12 ”打开 实验 虚拟 机 


(2) 在 虚拟 机 PC 中 ,打开 火狐 浏览 器 ,在 地 址 栏 中 输入 "http: //172. 16. 3. 100”, 发 
现成 功 访问 网 站 ,如 图 3-13 所 示 。 


3-13 ”成功 访问 到 网 站 


(3) 单 击 “ 开 始 ” 一 “命令 提示 符 ”。 在 “命令 提示 符 ” 界 面 中 ,输入 命令 “ping 172. 16. 
3. 100”, 发 现 不 能 成 功 ping 通 Web 服务 器 ,这 说 明 服 务 管理 配置 成 功 , 如 图 3-14 所 示 。 


【实验 思考 】 

(1) 怎样 设置 只 允许 虚拟 机 能 ping 通 Web 服务 器 ? 

(2) 怎样 设置 使 得 虚拟 机 可 以 在 任何 方式 的 条 件 下 访问 Web 服务 器 ? 

(3) 阅读 防火 墙 操作 手册 ,思考 防火 墙 如 何 基 于 时 间 对 应 用 进行 管理 ,实现 不 同时 间 
的 不 同安 全 策略 访问 。 


96 


第 3 章 防火 墙 基本 应 用 


| 


图 3-14 访问 Web 服务 器 失败 
33 关键 字 及 行为 管控 配置 


3.2.1 防火 墙 预 设 关键 字 管 理 实 验 


【实验 目的 】 

关键 字 是 防火 韦 
预定 义 关键 字 来 防止 泄露 关键 信息 

【知识 点 】 

预定 义 关 键 字 组 、 过 滤 规 则 、 安 全 策略 


【场景 描述 】 


实现 过 滤 功能 的 基础 ,管理 员 可 以 在 配置 内 容 过 滤 .邮件 过 滤 时 引入 


近期 客户 身份 信息 泄密 事件 比较 严重 ,A 公司 为 了 加 强 这 方面 的 防范 ,采购 了 一 台 
含 


防火 墙 ,经 理 要 求 安全 运 维 工 程 师 对 防火 墙 配置 ,实现 不 允许 从 公司 内 网 向 外 网 传送 包含 


手机 号 内 容 的 文件 ,请 思考 应 如 何 实现 经 理 的 要 求 。 
【实验 原理 】 
关键 字 组 作为 内 容 过 滤 的 基础 设置 ,通过 设置 希望 进行 过 滤 和 控制 的 关键 字 ,为 后 续 
配置 内 容 过 滤 .邮件 过 滤 等 安全 策略 做 准备 
【实验 设备 】 
。 安全 设备 : 防火 墙 设备 1 台 
2 台 ,Windows Server 2003 SP1 主机 1 台 。 


。 主机 终端 Windows 7 主机 2 台 


【实验 拓扑 】 
实验 拓扑 如 图 3-15 所 示 。 
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了 PC1: 172.16.2.100/24 FTP 服 务 器 : 110.69.80.100/24 


管理 机 : 10.0.0.44/24 
(以 实际 了 地址 为 准 ) 


图 3-15 防火墙 预 设 关键 字 管 理 实验 拓扑 


【实验 思路 】 

(1) 查看 预定 义 关键 字 。 

(2) 配置 基于 预定 义 关键 字 的 防火 墙 内 容 过 滤 规 则 。 
(3) 配置 安全 策略 并 引用 内 容 过 滤 策 略 。 


【实验 要 点 】 

下 一 代 防 火 墙 管理 员 可 单 击 “ 对 象 配置 ”~ 关键 字 组 ”, 导 和 人、 导出 预 设 关 键 字 , 再 依 
次 单 击 “ 对 象 配置 ”一 "安全 配置 文件 ”内容 过 滤 ”, 对 预定 义 关 键 字 添加 内 容 过 滤 规 则 ， 
然后 单 击 “ 策 略 配 置 ">“ 安 全 策略 ”, 引 用 内 容 过 滤 策 略 , 实 现 防 火 墙 对 预定 义 关键 字 进 行 
过 滤 的 功能 。 


【实验 步骤 】 

(1) 一 (3) 登 录 并 管理 防火 墙 ,检查 防火 墙 的 工作 状态 。 

(4) 单 击 面板 上 方 导航 栏 中 的 “网 络 配置 ”, 单 击 ge2 右 侧 “操作 ”中 的 笔 形 标志 ,编辑 
ge2 接口 。 

(5) 本 实验 中 ge2 接口 模拟 连接 内 部 网 络 中 的 一 台 计算 机 ,因此 将 ge2 口 IP 设置 为 
“172. 16. 2. 1”, 掩 码 为 "255. 255. 255. 0”, 安 全 域 为 trust, 后 续 步骤 按照 此 要 求 进行 调整 。 
在 “编辑 物理 接口 "界面 中 ,“ 工 作 模 式 " 选 中 “路 由 模式 ” 单 选 按钮 , 单 击 本 地 地 址 列表 中 的 
IPv4 标签 列表 中 的 “十 添加 ”按钮 。 如 果 已 有 IP 地 址 的 设置 , 则 单 击 IP 地 址 右 侧 “操作 ” 
的 笔 形 标志 , 视 具体 情况 决定 。 单 击 “ 十 添加 ”按钮 ,其 他 保持 默认 配置 。 

(6) 在 “添加 IPv4 本 地 地 址 ?界面 中 ,输入 本 实验 设 定 的 IP 地 址 "172. 16. 2. 1”, 该 地 
址 用 于 与 实验 虚拟 机 通信 使 用 .输入 子 网 掩 码 为 “255. 255. 255. 0”, 类 型 默认 为 float, 如 
图 3-16 所 示 。 

(7) 单 击 “确定 ”按钮 ,返回 “编辑 物理 接口 ?界面 .再 单 击 “ 确 定 ” 按 钮 ,关闭 “编辑 物理 
接口 ?界面 。 

(8) 在 本 实验 中 ,ge3 口 用 于 模拟 连接 公司 外 部 的 FTP 服务 器 ,因此 将 ge3 口 IP 设 
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置 为 “110. 69. 80. 1”, 掩 码 为 “255. 255. 255.0”, 安 全 域 为 untrust, 后 续 步骤 按照 此 要 求 进 

行 调整 。 在 “编辑 物理 接口 "界面 中 ,“ 工 作 模 式 ” 选 中 “路 由 模式 ” 单 选 按钮 , 单 击 本 地 地 址 

列表 中 的 IPv4 标签 列表 中 的 “十 添加 ”按钮 。 如 果 已 有 IP 地 址 设置 , 则 单 击 IP 地 址 右 侧 

“操作 ”的 笔 形 标志 , 视 具体 情况 决定 。 单 击 “ 十 添加 ”按钮 ,其 他 保持 默认 配置 。 

添加 IPv4 本 地 地 址 国 
本 地 地 址 [172.16.2.1 六 


子 网 撞 码 [255.255.255.0 
类 型 [float 二 


EE 
图 3-16 编辑 ge2 接口 IP 地 址 参数 
(9) 在 “添加 IPv4 本 地 地 址 ?界面 中 ,输入 本 实验 设 定 的 IP 地 址 “110. 69. 80. 1”, 该 


地 址 用 于 与 FTP 服务 器 通信 使 用 ,“ 子 网 掩 码 ” 输 入 “255. 255. 255.0”,“ 类 型 "保留 默认 值 
float, 如 图 3-17 所 示 。 


| 油 IWrPv4 本 地 地 址 四 


本 地 地 址 110.69.80.1 
子 网 接 码 ”| 255.255.255.0 


类 型 ”| float ~v 


图 3-17 编辑 ge3 接口 IP 地 址 参数 


(10) 单 击 “ 确 定 ?按钮 ,返回 “编辑 物理 接口 ?界面 .确定 接口 的 相关 信息 准确 无 误 后 ， 
再 单 击 “确定 ?按钮 ,返回 "接口 ?界面 。 查 看 ge2 和 ge3 接口 信息 ,如 图 3-18 所 示 。 


17216.21/255255.2550 
a 路 由 模式 fe80:216:31ff:feel:a80d/64 0 ia 国 
110.69.80.1/255.255.255.0 
ge3 下 由 浪 二 fe80:216:31ff:feel:a80e/64 0 RE 国 


3-18 查看 ge2 和 ge3 接口 信息 


(11) 单 击 面板 导航 栏 的 “策略 配置 ”, 单 击 左 侧 的 “安全 策略 ”。 在 “安全 策略 ?界面 中 
单 击 “ 十 添加 ”按钮 ,添加 安全 策略 ,如 图 3-19 所 示 。 

(12) 在 “添加 安全 策略 ”界面 中 ,在 “名 称 ” 中 输入 “预定 义 关键 字 管理 ”“ 源 安全 域 ” 
设置 为 trust,“ 目 的 安全 域 " 设 置 为 untrust, 如 图 3-20 所 示 。 

(13) 单 击 “ 确 定 ” 按 钮 ,返回 “安全 策略 ”界面 。 发 现 安全 策略 已 成 功 被 添加 ,如 
图 3-21 所 示 。 

(14) 过 滤 存 在 邮箱 的 网 页 。 单 击 面 板 上 方 导航 栏 中 的 “对 象 配 置 ”, 单 击 左 侧 的 “ 关 
键 字 组 ”, 在 “预定 义 关键 字 组 ”界面 单 击 “ 导 出 ”按钮 ,导出 当前 存在 的 过 滤 规 则 。 如 
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图 3-22 所 示 。 


指导 


对 得 配 豆 


元 第 咯 


网 络 配 于 


][(Dm |[(ilas |][(é ern | 


Cm] 


安全 第 略 
二 +n [导向 
国 


图 3-19 添加 安全 策略 


目的 地 址 /地 区 


< 
NH 4 | 筹 1 RE1 页 | ， 


〇 拒绝 


请 选择 或 给 入 源 地 址 /地 区 
请 选择 或 给 入 目的 地 址 /地 区 
请 选择 服务 

| 请 选择 应 用 或 应 用 组 

请 选择 联 道 

请 选择 时 间 


请 输入 VLAN 
( 取 值 范围 0-4094 ,格式 : 1,3,5-10,12) 


0-6 纺 初 


(0-127 字 笠 ) 


图 3-20 设置 安全 策略 


取消 


(15) 导出 文件 的 “名 称 ”为 “keygroup_info. 4093481866”, 单 击 “ 下 载 ”按钮 ,如 图 3-23 


所 示 。 


(16) 在 下 侧 管 理 机 使 用 “Notepad 十 十 ”查看 导出 文件 “keygroup_info. 4093481866”， 
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区 夫人 和 


国 NA 
园 SeuE 


ESL So 


问 -MAce 定 


图 Qos 


安全 第 忠 克 全 特权 


[+ |] [ow Om |[ a |][ & ss+m |[ C Re 


Ds 天 去 全 央 日 的 去 全 过 le 区 
口 现 宇 六 关 归 了 基于 ruct Bunnust any 


m1 


图 3-21 成 功 添加 安全 策略 


局 地 址 
地 址 
地 址 组 
服务 器 地 址 
VPN 地 址 池 
到 国家 /地 区 
避 服务 


关键 字 担 关键 了 组 


JE] 
名 称 


图 3-22 导出 过 滤 规 则 


新 建 下 载 任务 


网 址 : | http://192.168.1.50/getDownLoad/keygroup_inf 


Ekaroup mor 


下 载 到 :CUsers\wz\Desktop 车 41.50GB || 浏览 
ms EE FE 


图 3-23 下 载 导出 文件 
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EGG 防火 墙 技术 及 应 用 实验 指导 Eee 


可 见 手 机 号 码 格式 的 正则 表达 式 ,这 说 明 防 火 墙 的 默认 配置 中 已 经 存在 过 滤 手 机 号 码 的 
规则 ,如 图 3-24 所 示 。 


广内 [有] 篇 号 (E) 重 索 (5S) 视图 |Y| 项 SN) 再 言 刷 ” 设 得 () 工兵 (Oj 次 MI 运 F(N 括 #(7) DMW) ? 
癌 马 而 合 | 省 和 和 临 | > | 拘 斩 | A 六 | 对 己 | 二 1 国 刁 国 四 己 包 | 回国 巴 吾 局 


Mt (I + ]\wt) *@\wt([—.]\wt)*\.\wt([-.]\w+)* 0 
)\a{0, }(\w{32}1\w{64}1\w{16}) ($1\W) 0 
Cel (* by a Dy 0 
Cel (^|\D)145\d{8} ($|\D) 
Cel (“|\D)147\d{8} ($1\D) 
Cel (~^|I\D)15["4]\d{8} ($1\D) 
Cel (~|\D)1700\d{7} ($1\D) 
Cel (~|\D)1705\9{7} ($1\D) 
Cel (~I\D)1709\g(7] ($1\D) 
Cel (~I\D)176\d{8} ($1\D) 
Cel (~I\D)177\d(8} ($1\D) 
Cel (*I\D)178\d(8} ($1\D) 
Cel (~I\D)18\d{9} ($I\D) 0 
ID (~ ND) 2 oI Nl ($1\D) 1 
ID (~^I\D)2[112|3]\ad{15}[\dlx] ($1\D) 1 0 
ID (*1\D)3[1121314151617]\df15} [NalIxX] ($1\D) 
ID (^1I\D)4[11213141516]\df15}[NalX] ($I\D) 1 
ID (^1I\D)5[011121314]\dft15} [NdIX] ($1\D) 和 
1 
1 


“oooo0o00000r 


ID (~^|\D)6[112|314|5]\a{15} [\alx] ($1\D) 
Card-No_ LIAny3r5l71vadlL1314S1vny 2 0 
ength 1 2559 inee; 50 :1 Col:1 Sel:0|0 


图 3-24 查看 导出 文件 
(17) 切换 到 防火 墙 界面 , 单 击 面板 上 方 导航 栏 中 的 “对 象 配置 ”, 单 击 左 侧 的 “安全 配 


置 文件 ,选择 “内 容 过 滤 ”, 在 “内 容 过 滤 ” 界 面 单 击 * 十 添加 ”按钮 ,添加 过 滤 规则 , 如 
图 3-25 所 示 。 


西 板 分 析 和 和 同和 省。 对 银 和 和 
Taevgs ~ 
CE Tw [za 请 纺 入 查询 内 容 ”| 
名 称 引用 操作 


图 3-25 添加 内 容 过 滤 规 则 


(18) 在 “添加 内 容 过 滤 ” 界 面 中 .在 “名 称 ” 中 输入 “手机 号 码 过 滤 ”, 单 击 “ 添 加 ”按钮 ， 
如 图 3-26 所 示 。 
(19) 在 “编辑 规则 ”界面 中 ,在 名称” 中 输入 “手机 号 码 过 滤 1”,“ 应 用 ”设置 为 
“FTP”, “关键 字 ” 设 置 为 “手机 号 码 ”,“ 文 件 类 型 ”设置 为 og 如 
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mam】 第 3 章 防火 墙 基本 应 用 
图 3-27 所 示 。 
添加 内 容 过 过 日 
名 称 “手机 S 码 过 湾 -63 字 问 
搞 述 (0-127 字 和 初 ] 
wm ED 
口 名 称 | 应 用 | 关键 字 | 文件 类 型 | 方向 | 动作 | 操作 | 
(0-16 岗 ) 


编辑 规则 日 | 
名 称 | 手机 号 码 过 小 1 1-63 字 
应 用 FTP 
关键 字 。 手机 S 码 
文件 类 型 “全 部 
可 选 
html 
bt 
ie » 
docx > 
ws < 
ppt « 
pptx 
pef ~ 
方向 ”双向 hd 
动作 。 阻 断 了 ] 
E31ED| 
图 3-27 编辑 规则 


(20) 单 击 “ 确 定 ” 按 钮 ,返回 “添加 内 容 过 滤 ” 界 面 , 单 击 “ 确 定 ” 按 钮 ,返回 “内 容 过 滤 ” 


界面 ,如 图 3-28 所 示 。 


内 容 过 过 
Ds | 引用 
口 #3 0 


3-28 内 容 过 滤 界 面 


(21) 单 击 面板 上 方 导航 栏 中 的 “策略 配置 ”, 单 击 “ 安 全 策略 ”, 在 “安全 策略 "界面 单 
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击 “ 预 定义 关键 字 管理 ”策略 ,如 图 3-29 所 示 。 


图 
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全 安全 归 


国 NArw [ 诗 融 ] [时 勋 


国 sy 正 


|[Om [ia ] [4 set 到 |[ CR | 


国 supreme [ 


WP-MAC 包 证 
Qos 

里 各 单 
加 sm 


加 之 SI 


4 第 | yt1 页 hp 用 | 和 页 未 条 要 |20 ~ 


图 3-29 


配置 安全 策略 


(22) 在 “编辑 安全 策略 ?界面 中 , 单 击 * 高 级 "配置 文件 类 型 设置 为 "安全 配置 文 
件 ”,“ 内 容 过 滤 ” 设 置 为 “手机 号 码 过 滤 "。 单 击 “ 确 定 ” 按 钮 ,关键 字 管 理 规则 配置 完成 ,如 


3-30 所 示 。 
编辑 安全 第 略 x 
VLAN [请 三 AVIAN 守 
( 吧 值 范围 0-4094 , 格式 : 1.3.5-10.12) 
流量 日 志 [会 话 开始 口 ] 会 话 结束 
^ 高 豚 
配置 文 件 类 型 【安全 配置 文件 > 
漏洞 防护 ~ 
防 间 谋 软件 | 
URL 过 滤 hd 
反 病 毒 ~ 
内 容 过 湾 | 手机 到 过 济 > 
文件 过 滞 | > 
邮件 过 淖 | | 
行为 管控 晤 
长 连接 [启用 
ME ] 
图 3-30 ”编辑 安全 策略 
【实验 预期 】 


(1) 虚拟 机 PC 在 访问 FTP 服务 器 网 站 时 ,无 法 查看 包含 过 滤 规 则 的 文件 的 内 容 。 


第 3 辛 防火 墙 基本 应 月 mm 


(2) 取消 过 滤 规 则 后 ,可 正常 查看 所 有 文件 内 容 。 


【实验 结果 】 

1) 内 容 过 滤 规 则 生效 ,无 法 查看 目标 文件 内 容 

(1) 登录 实验 平台 中 对 应 实验 拓扑 中 右 侧 的 虚拟 机 ,进入 FTP 服务 器 ,如 图 3-31 
所 示 。 


ge2: 172.16.2.1/24 


PC1: 172.16.2.100/24 FTP 服 务 器 : 110.69.80.100/24 


管理 机 : 10.0.0.44/24 
(以 实际 中 地 址 为 准 ) 


图 3-31 登录 右 侧 虚 拟 机 


(2) 在 虚拟 机 FTP 服务 器 中 ,双击 桌面 的 FTPServer. exe, 在 弹出 的 “简单 FTP 
Server” 界 面 中 , 勾 选 “下 载 文件 “上 传 文件 ”和 “删除 文件 ” 复 选 框 ,如 图 3-32 所 示 。 


简单 FTP Serve 中 


图 3-32 设置 FTP 服务 器 


(3) 单 击 “ 启 动 ”按钮 ,启动 FTP 服务 器 。 返 回 实验 平台 对 应 的 实验 拓扑 中 , 单 击 左 
侧 的 计算 机 ,进入 PC1。 如 图 3-33 所 示 。 

(4) 在 虚拟 机 PC1 中 ,打开 火狐 浏览 器 ,在 地 址 栏 中 输入 “ftp: //110. 69. 80. 100”, 访 
问 FTP 服务 器 。 在 服务 器 上 发 现 “ 工 作 人 员 联 系 方式 电话 . xlsx”, 尝 试 下 载 它 , 如 图 3-34 
所 示 。 

(5) 单 击 “ 工 作 人 员 联 系 方式 电话 . xlsx”, 在 弹出 的 界面 中 单 击 “ 确 定 ” 按 钮 ,如 
图 3-35 所 示 。 

(6) 下 载 完成 后 ,系统 自动 打开 表格 ,发 现 里 面 的 内 容 被 过 滤 掉 了 ,如 图 3-36 所 示 。 


ms 105 sm 
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ge2: 172.16.2.1/24 


PC1: 172.16.2.100/24 FTP 服 务 器 : 110.69.80.100/24 


管理 机 : 10.0.0.44/24 
(以 实际 人 P 地 址 为 准 ) 


图 3-33 登录 左 侧 虚拟 机 


对 fpy/110.69.80.100/ 的 家 .x 


bh inetpub 2017111124 

install.exe 1KB 。 2013/2/3 

El installini 1KB 

install.res.2052.dIl 75KB 

Dinstallsql 14KB 

Bovs 

lh Program Files 

压 vredistbmp 

国 vcREDcab 

姜 vcREDMSI 

BB wnoows 2017/11/24 

BB wmpub 2015/12/17 

Bwww 2016/10/31 
2017/11/24 


图 3-34 FTP 服务 器 之 一 


算计 地 了 打开 : 


名 工作 人 员 联 系 方式 电话 xlsx 
文件 并 一 : Microsoft Excel 工作 要 (10.0 KB) 
来 源 : ftpv/110.69.80.100 


‘emairefox 如 何 处 理 此 文件 ? 


图 3-35 ”下载 表格 之 一 


第 3 章 防火 墙 基本 应 用 上 EE 


上 WW | Q 点 此 查找 证 令 


论断 比 民 党 x 
@ | 该 文件 由 于 今 中 了 网 关 的 过 流 规 则 : [content_filter] , 内容 已 被 过 滤 。 


B 上 D E F (wl | | a NN SS 
| 命中 了 网 关 的 过 滤 规 则 : [content filter] ， 内 容 已 被 过 滤 。 | 
全 潭 联系 瓯 理 员 | 


| 
1 
| 
| 
| 
| 
T 
| 
| 
| 
| 
| 
| 
| 
| 


工作 人 员 联 系 方式 电 舌 


图 3-36 ”打开 表格 之 一 


2) 取消 过 滤 规 则 ,可 正常 查看 目标 文件 内 容 

(1) 在 学 生机 打开 浏览 器 ,在 地 址 栏 中 输入 防火 墙 产品 的 他 地 址 “https: //10.0.0.1” 
(以 实际 设备 IP 地 址 为 准 ), 进 入 防火 墙 的 登录 界面 。 输 入 管理 员 用 户 名 admin 和 密码 
“11fw@2soc#3vpn” 登 录 防 火 墙 ,登录 界面 如 图 3-37 所 示 。 


新 一 代 智 慧 防火 墙 


图 3-37 防火 墙 登录 界面 


(2) 为 提高 防火 墙 系统 的 安全 性 ,用 户 可 用 默认 密码 登录 防火 墙 ,防火 墙 会 提示 用 户 
修改 初始 密码 ,本 实验 在 这 里 单 击 “ 取 消 ” 按 钮 ,如 图 3-38 所 示 。 
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修改 管理 员 密码 


管理 员 客 码 是 初始 密码 ， 请 修改 


新 密码 | 10-127 字 符 
必须 包 合 字母 ,数字 .特殊 符号 


| | 


图 3-38 初始 密码 修改 


(3) 登录 防火 墙 设备 后 ,会 显示 防火 墙 的 面板 界面 ,如 图 3-39 所 示 。 


护 口 名 称 发 送 3 EEC 
gel 219(Kbps) 2.85(Kbpe) ts vaorGL6.36417n) 
qe2 中 Olbps) Ofbps) | 
qe3 和 obpa ofbps) emam vse . 
ja 中 Olbps) olbps) | 2017-09-1621:51:13 
| 要 皖 运 行 时 间 2 天 5:16:30 
| 组 0 未 开 让 
大 理 员 1 < 
cbd214d9e2bac097542482d9d8d8 
_Uicense 信 息 RE 一 -ca EE EE 
功能 | ID 严重 性 
Ipsed 拉 天 数 HTrp ocd 区 二 20022 ES 
并 发 连接 数 SYN flood 攻 击 80007 [| 
SSL VPN 并 发 用 户 数 |HTTP focd 攻 击 80022 3 
入 侵 防御 |SYN food 攻 击 80007 Ea 
入 侵 防御 库 升级 2018-08-29 02:12:28 |HTTP flocd 攻 击 80022 [3] 2017-09-15 18:54.. 


图 3-39 ”防火墙 面板 界面 


(4) 单 击 面板 上 方 导航 栏 中 的 “策略 配置 ”", 再 单 击 左 侧 的 “安全 策略 ”。 在 “安全 策 
略 ? 界 面 中 单 击 名 称 为 “关键 字 管 理 ” 的 安全 策略 ,如 图 3-40 所 示 。 

(5) 进入 “编辑 安全 策略 ”界面 , 单 击 “ 高 级 ”“ 配 置 文 件 类 型 "设置 为 “NONE--”, 这 
样 就 撤销 了 已 设置 的 过 滤 规 则 ,如 图 3-41 所 示 。 

(6) 单 击 “ 确 定 ” 按 钮 ,返回 “安全 策略 ”界面 ,如 图 3-42 所 示 。 

(7) 登录 实验 平台 对 应 实验 拓扑 左 侧 虚拟 机 ,进入 PC1, 如 图 3-43 所 示 。 

(8) 进入 实验 虚拟 机 ,打开 实验 虚拟 机 PC1 中 的 火狐 浏览 器 ,在 地 址 栏 中 输入 “ftp: 
//110. 69. 80. 100”, 进 入 FTP 网 站 首页 。 在 服务 器 上 发 现 “ 工 作 人 员 联 系 方式 电话 
. xlsx”, 尝 试 下 载 它 , 如 图 3-44 所 示 。 

(9) 单 击 “ 工 作 人 员 联 系 方式 电话 . xlsx”, 在 弹出 的 界面 中 单 击 “ 确 定 ” 按 钮 ,如 
图 3-45 所 示 。 

(10) 下 载 完 成 后 ,系统 自动 打开 表格 ,可 见 正确 的 内 容 , 符 合 预期 要 求 ,如 图 3-46 
所 示 。 
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HW ee 


lation [十 和 ] [wm |] [Ow |[ 


国 sw 下 Dm 这 安全 二 日 的 安全 二 源 反 Hi/ 地 区 目的 地 址 / 汉 区 服务 


阔 sst 多 这 于 中 


加 -MAceg 定 
加 oos 

地 segs 
周全 本 限制 


网 立信 护 


图 3-40 ”打开 安全 策略 


编 锭 安全 第 略 国 
源 地 址 /地 区 [any 
目的 地 址 /地 区 [any 
服务 [any 
应 用 [any 
来 自 刁 道 。[ 请 还 浑 刁 甫 > 
时 间 【请 运 择 时 间 > 
VIAN [请 史 和 VLAN 
取 值 范围 0-4094 ,格式 : 1,3,5-10,12) 
流量 日 志 会 话 结束 
会 活 开始 
“高 豚 
meme 
长 连接 - 
ED 


图 3-41 编辑 安全 策略 


et Re Be Buninet any any ay 


间 ip wacg 定 
回 Qos 
图 Se 


国 雪人 到 六 


图 3-42 安全 策略 界面 


109 


110 


ge2 :172.16.2.1/24 ge3 :110.69.80.1/24 


PC1 :172.16.2.100/24 FTP 服 务 器 :110.69.80.100/24 


管理 机 :10.0.0.44/24 
(以 实际 IP 地 址 为 准 ) 


图 3-43 登录 左 侧 虚拟 机 


对 fpy/110.69.80.100/ 的 家 .x 


hinetpub 2017/11/24 

install exe 1KB 2013/2/3 
installini 1KB 

installres 2052dl 75KB 

Dinstallsql KB 

BJovs 

BW program Fles 

面 ,creditbmp 

国 vcREDcab 

姜 vc_REDMSI 

winoows 

wnpub 

Bwww 


图 3-44 FTP 服务 器 之 二 


全 过 所 了 打开 : 
加 工作 人 员 联 系 方式 电话 xlax 


文件 汪 型 Microsoft Excel 工作 要 (10.0 K8) 
来 源 : ftpv/110.69.80.100 


您 理 要 洛 irefcx 如 何 处 理 此 文件 ? 


3-45 下载 表 格 之 二 


ee 第 3 章 防火 墙 基本 应 用 mm 


-上 "|"-A- 多 -| 三 < 5 喇 -%， 基 党 到- 


区 四 关岛 攻 四 mw ”双生 WPS x 图 工 人员 联 - 活 从 南 x 病 工 作 人 员 联 .1 内海 x 十 BD W | Q 点 此 查 拢 命令 


1.25E+10 


图 3-46 打开 表格 之 二 


【实验 思考 】 

(1) 怎样 配置 内 容 过 滤 规则 ,才能 使 员工 不 能 访问 包含 手机 号 码 的 网 页 内 容 ? 

(2) 怎样 配置 内 容 过 滤 规 则 ,才能 使 员工 仅仅 不 能 访问 包含 网 易 邮 箱 格式 的 网 页 
内 容 ? 

(3) 通过 关键 字 配置 过 程 ,如 何在 防火 墙 实现 文件 过 滤 和 邮件 过 滤 等 内 容 过 滤 功能 ? 

3.2.2 防火 墙 行为 管控 实验 

【实验 目的 】 


管理 员 通过 配置 防火 墙 的 行为 管控 功能 ,可 以 对 HTTP、POP3、IMAP、FTP、TEL- 
NET 协议 进行 细 粒 度 的 控制 ,过 滤 不 受信 任 的 网 络 行为 。 


【知识 点 】 
行为 管控 .安全 策略 。 


【场景 描述 】 

人 A 公司 经 理发 现 有 员工 在 工作 时 间 利 用 互联 网 做 一 些 与 工作 无 关 的 事情 ,例如 浏览 
购物 网 站 等 ,于 是 经 理 找到 安全 运 维 工程 师 , 要 求 其 利用 防火 墙 的 功能 ,让 企业 内 部 的 工 
作 人 员 无 法 访问 这 些 网 站 ,以 便 提 高 员工 的 工作 效率 。 同 时 ,经 理 还 有 一 个 需求 ,为 了 保 
障 FTP 服务 器 的 安全 性 ,要 求 安全 运 维 工 程 师 通过 防火 墙 的 配置 实现 员工 不 能 通过 命令 
行 的 方式 登录 FTP 服务 器 。 请 思考 应 怎样 配置 防火 墙 才能 满足 经 理 的 要 求 。 
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【实验 原理 】 

防火 墙 可 以 根据 应 用 具体 操作 行为 对 应 用 过 程 进行 精细 化 控制 ,应 用 控制 的 前 提 条 
件 是 通过 防火 墙 相关 应 用 识别 技术 完成 对 应 用 协议 的 识别 ,并 根据 安全 策略 控制 应 用 的 
具体 行为 。 

【实验 设备 】 

。 安全 设备 : 防火 墙 设备 1 台 。 

。 主机 终端 : Windows XP 主机 1 台 .Windows Server 2003 SP1 主机 1 台 ,Windows 7 

主机 1 台 。 
【实验 拓扑 】 
实验 拓扑 如 图 3-47 所 示 。 


ge2: 172.16.2.1/24 ge3: 172.16.3.1/24 


Web 服 务 器 : 172.16.3.100/24 


管理 机 : 10.0.0.44/24 
(以 实际 下 地 址 为 准 ) 


图 3-47 防火 墙 行为 管控 实验 拓扑 


【实验 思路 】 

(1) 配置 网 络 行为 管理 策略 。 

(2) 配置 需要 管理 的 应 用 层 协议 的 动作 。 
(3) 配置 需要 管理 的 应 用 层 协议 的 条 件 。 
(4) 网 络 行为 管理 加 入 安全 策略 。 


【实验 要 点 】 

下 一 代 防 火 墙 管 理 员 可 依次 单 击 对 象 配 置 "~“ 安 全 配置 文件 ”一 “行为 管控 ”, 添 加 
行为 管理 策略 ,配置 需要 管理 的 应 用 层 协 议 的 动作 及 对 应 的 条 件 ,然后 单 击 “策略 配置 ”一 ~ 
“安全 策略 ”, 引 用 行为 管控 策略 ,来 实现 防火 墙 对 指定 应 用 层 协议 的 行为 管控 功能 。 

【实验 步 又】 

(1) 一 (3) 登录 并 管理 防火 墙 ,检查 防火 墙 的 工作 状态 。 

(4) 单 击 面板 上 方 导航 栏 中 的 “网 络 配 置 ”, 单 击 ge2 右 侧 “操作 ”中 的 笔 形 标志 ,编辑 
ge2 接口 。 
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(5) 本 实验 中 ,ge2 接口 模拟 连接 公司 内 部 网 络 中 的 一 台 计 算 机 ,因此 将 ge2 口 IP 设 
置 为 “172. 16. 3. 1”, 掩 码 为 “255. 255. 255. 0”, 安 全 域 为 trust, 后 续 步骤 按照 此 要 求 进行 
调整 。 在 “编辑 物理 接口 "界面 中 ,“ 工 作 模式 ”选中 “路 由 模式 ” 单 选 按钮 , 单 击 本 地 地 址 列 
表 中 的 IPv4 标签 列表 中 的 “十 添加 ”按钮 。 如 果 已 有 IP 地 址 的 设置 , 则 单 击 IP 地 址 右 侧 
“操作 ”的 笔 形 标志 , 视 具体 情况 决定 ,其 他 保持 默认 配置 。 

(6) 在 “添加 IPv4 本 地 地 址 ”界面 中 ,输入 本 实验 设 定 的 IP 地 址 “172. 16. 3. 1”, 该 地 
址 用 于 与 实验 虚拟 机 通信 使 用 ,输入 子 网 掩 码 为 *255. 255. 255. 0”, 类 型 默认 为 float, 如 
图 3-48 所 示 。 


本 地 地 址 [172.16.3.1 
子 网 掩 码 [255.255.255.0 
i [et | 


EE 
图 3-48 编辑 ge2 接口 IP 地 址 参数 


(7) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 ,再 单 击 “ 确 定 ” 按 钮 ,关闭 “编辑 物理 
接口 ?界面 。 

(8) 在 本 实验 中 ,ge3 口 用 于 模拟 连接 CMS 服务 器 ,因此 将 ge3 口 IP 设置 为 “172. 
16. 2. 1”, 掩 码 为 “255. 255. 255. 0”, 安 全 域 为 untrust, 后 续 步 又 按照 此 要 求 进行 调整 。 在 
“编辑 物理 接口 ?界面 中 必 工 作 模式 ?选中 * 路 由 模式 ” 单 选 按钮 , 单 击 本 地 地 址 列表 中 的 
IPv4 标签 列表 中 的 “十 添加 ”按钮 。 如 果 已 有 IP 地 址 设置 , 则 单 击 IP 地 址 右 侧 “操作 ”的 
笔 形 标志 , 视 具 体 情况 决定 ,其 他 保持 默认 配置 。 

(9) 在 “添加 IPv4 本 地 地 址 ?界面 中 ,输入 本 实验 设 定 的 IP 地 址 "172. 16. 2. 1” ,该 地 
址 用 于 与 CMS 服务 器 通信 使 用 ,输入 子 网 掩 码 为 "255. 255. 255. 0”, 类 型 默认 为 float ,如 
图 3-49 所 示 。 


本 地 地 址 [172.16.2.1 
子 网 掩 码 [255.255.255.0 
类 型 【float > 


EE 
图 3-49 编辑 ge3 接口 IP 地 址 参数 


(10) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 ,确定 接口 的 相关 信息 准确 无 误 后 ， 
再 单 击 “ 确 定 ” 按 钮 ,返回 接口" 界面。 查看 ge2 和 ge3 接口 信息 ,如 图 3-50 所 示 。 


172163.1/155.2552550 辑 
80-216.311IEe4.66bty64 0 图 国 
7216.2.1/255.2552550 


1 国 
国 Was ee 0 rust mm 。 马 ' 。 


图 3-50 ”查看 ge2 和 ge3 接口 信息 


ge2 器 自 析 式 1 ’ 
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(11) 单 击 面板 上 方 导航 栏 中 的 “策略 配置 ”, 单 击 左 侧 的 “安全 策略 ”, 在 “安全 策略 ” 


界面 中 单 击 “ 添 加 ”按钮 ,添加 安全 策略 ， 


如 图 3-51 所 示 。 


从 安全 第 略 


国 NAT 征 赂 


国 安全 认证 


图 SSL 角 放生 路 
加 IP-MACWN 定 
回 Qos 

黑白 名 单 

司 会 汪 限制 

加 安全 防护 


图 3-51 “安全 策略 "界面 


(12) 在 “添加 安全 策略 ”界面 中 ,在 “名 称 ” 中 输入 “行为 管控 策略 ”, 设 置 “ 源 安全 域 ” 


为 trust ,ge2 接口 在 该 域 中 
默认 配置 , 单 击 “ 确 定 ” 按 钮 


,设置 “目的 安全 域 ”? 为 untrust,ge3 接口 在 该 
,如 图 3-52 所 示 。 


域 中 。 其 他 保持 


Ox 


请 给 和 VLAN 
( 取 值 范围 0-4094 , 格式 : 1.3,5-10,12) 


* (1-63 字 稳 ) 
(0-127 字 稳 ) 


加 | 


3-52 ”添加 安全 策略 


EID 


(13) 单 击 面板 上 方 导航 栏 中 的 “对 象 配置 ”, 单 击 左 侧 的 “安全 配置 文件 ”, 选 择 “ 行 为 
管控 ”, 在 “行为 管控 ”界面 中 单 击 “十 添加 ”按钮 ,如 图 3-53 所 示 。 
(14) 在 “添加 行为 管控 ”界面 中 .在 “名 称 ” 中 输入 “行为 管控 ”, 单 击 HTTP, 勾 选 “ 浏 
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览 网 页 ” 复 选 框 ,选中 “ 阻 断 " 单 选 按钮 , 它 的 功能 是 阻止 访问 网 页 ,如 图 3-54 所 示 。 


添加 行为 管控 国 
名 称 [行为 乱 注 (1-63 字 禄 
摘 述 [ ] 0-127 字 稳 
HTP SMP pop3 IMAP Frp 
POST 报 作 名 阴 断 日 志 
代理 上 网 图 阴 断 日 去 
回 浏览 网 页 和 @ 阴 断 D 日 志 
文件 上 传 “日 朋 断 日 志 


文件 下 载 ”加 阴 断 日 志 


图 3-54 ”添加 行为 管控 1 


(15) 切换 至 FTP 栏目.“ 动作 ”选择 * 阻 断 ”, 选 中 “命令 ”。 箭 头 将 FTP 所 有 命令 加 
入 “已 选 ?列表 中 , 单 击 * 确 定 ? 按 钮 ,禁止 用 户 使 用 命令 登录 FTP 服务 器 ,如 图 3-55 所 示 。 

(16) 单 击 面板 上 方 导航 栏 中 的 “策略 配置 ”, 在 “安全 策略 ”界面 中 单 击 “ 行 为 管控 策 
略 ”, 如 图 3-56 所 示 。 

(17) 在 “编辑 安全 策略 ”界面 中 , 单 击 “ 高 级 ”, 设 置 “配置 文件 类 型 "为 “安全 配置 文件 ”， 
设置 “行为 管控 ”为 “行为 管控 ”, 单 击 “ 确 定 ” 按 钮 。 至 此 ,行为 管控 设置 生效 ,如 图 3-57 
所 示 。 

【实验 预期 】 

(1) 添加 防火 墙 行为 管控 之 前 ,实验 主机 能 够 访问 CMS 服务 器 搭建 的 网 站 并 可 以 通 
过 命令 行 的 形式 登录 FTP 服务 器 。 

(2) 添加 防火 墙 行为 管控 之 后 ,实验 主机 无 法 访问 CMS 服务 器 搭建 的 网 站 并 且 无 法 
登录 FTP 服务 器 。 
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编辑 行为 管控 


名 称 | 行为 管控 * (1-63 字 符 


(0-127 字 初 ) 


FTP TELNET 


策略 配置 。 对 象 瑟 置 。 网 络 配置 


em 


Ee 元 2 策 咯 
[FJ] [5] jj] [Cj] 
王公 


亲 安全 证 日 的 安全 堵 得 地址 /地 区 日 的 地 址 /地 区 用 


5L 解 灾 筑 呈 
癌 wactz 主 
Qo 
EE 
3 会 活 限制 


国 安生 从 护 


4 i |i MN Sness 20 ~ 


es 
图 3-56 ”打开 360 安全 策略 


【实验 结果 】 

1) 添加 行为 管控 后 ,访问 目标 网 站 失败 ,用 户 无 法 登录 FTP 服务 器 

(1) 进入 实验 平台 对 应 的 实验 拓扑 , 单 击 左 侧 的 虚拟 机 ,进入 虚拟 机 ,如 图 3-58 所 示 。 
(2) 打开 浏览 器 ,在 地 址 栏 中 输入 “http: //172. 16. 3. 100”, 访 问 目标 网 站 失败 ,如 


图 3-59 所 示 。 
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PC1: 172.16.2.100/24 Web 服 务 器 : 172.16.3.100/24 


管理 机 : 10.0.0.44/24 
(以 实际 趾 地 址 为 准 ) 


图 3-58 实验 拓扑 


安 < | 论 目 二 Wt > 网 
| rternet Explorer 


sy Internet Explorer 无 法 显示 该 网 页 


您 可 以 尝试 以 下 操作 


回 更 多 信息 


3-59 ”访问 目标 网 站 失败 
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(3) 单 击 “ 开 始 ”, 选 择 “ 命 令 提 示 符 ”, 在 终端 输入 “ftp 172. 16. 3. 100”, 然 后 输入 用 户 


名 ftptest, 发 现 无 法 登录 FTP 服务 器 ,如 图 3-60 所 示 。 


国 今 令 提示 符 - fp 172.16.3.100 


osoft Windows [jh 内 本 6.1 
”2889 Microsoft ( 


admin>Ftp 172.16. 


图 3-60 登录 失败 


2) 撤销 行为 管控 后 ,成 功 访问 目标 网 站 并 登录 FTP 服务 器 


(1) 在 管理 机 打开 浏览 器 ,在 地 址 栏 输入 防火 墙 产品 的 IP 地 址 “https: 
设备 IP 地 址 为 准 ), 进 入 防火 墙 的 登录 界面 。 输 入 管理 员 用 户 名 admin 和 密码 


“11fw@2soc 上 #3vpn? 登 录 防 火 墙 。 登 录 界 面 如 图 3-61 所 示 


新 一 代 智 慧 防火 墙 


图 3-61 ”防火墙 登录 界面 


(2) 为 提高 防火 墙 
户 修改 初始 密码 ,本 实验 在 这 里 单 击 “取消 "按钮 。 如 图 3-62 所 示 。 
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性 ,如 果 用 户 用 默认 密码 登录 防火 墙 ,防火 墙 会 提示 用 
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新 密码 | ”10-127 字 符 
必须 包含 字母 数字 特殊 符号 


确认 窗 码 


C= [=] 


图 3-62 初始 密码 修改 


(3) 登录 防火 墙 设备 后 ,会 显示 防火 墙 的 面板 界面 。 如 图 3-63 所 示 。 


接口 信息 日 站 同 由 | | 系统 信息 站 回国 


| 接口 名 称 E23 发 送 接收 | | R 二 称 。 360 网 神 防 火 二 系统 
gol 219(Kbps) 2.85(Kbps) ss vaota163aoa17) 
qe2 本 Olbps) obps) 
qe3 站 ofbpa) ofbps) NSG 时 
4 站 olbps) ti 素 约 时 间 2017-09-16 21:51:13 

素 纹 运行 时 间 2 天 519.30 

HA 组 0 村 开启 

| 只 1 

Sc0d214d9e2bac097542482d9d8d8 
EEC ESEEIO CEEEEEEESESESS 
功能 到 随时 间 | RiD | 严重 竹 [时间 | 
IPsec 周 盏 || hrrp fcod 攻 去 80022 [ 2017-09-15 18:56.. 
并 发 连接 数 | SYN flood 攻 志 80007 [ 2017-09-15 18:56... 
SSL VPN 并 发 用 户 数 HTTP flood 攻击 80022 [S| 2017-09-15 18:56... 
入 食 防 知 - 上 svn ocd 区 二 B0007 2017-09-15 18:56.., 
入 侵 沪 着 库 和 级 2018-08-29 02:12:28” 因 | HTTP foodzK 二 80022 EE 2017-09-15 18:54.. | 了 


图 3-63 防火墙 面板 界面 


(4) 单 击 面板 上 方 导航 栏 中 的 “策略 配置 ”, 再 单 击 左 侧 的 “安全 策略 ”。 在 “安全 策 
略 ” 界 面 中 单 击 名 称 为 “行为 管控 策略 ?的 安全 策略 ,如 图 3-64 所 示 。 

(5) 进入 “编辑 安全 策略 "界面 , 单 击 “ 高 级 ”, 设 置 “配置 文件 类 型 "为 “一 NONE--”, 这 
样 就 撤销 了 已 设置 的 过 滤 规 则 ,如 图 3-65 所 示 。 

(6) 单 击 “ 确 定 ” 按 钮 ,返回 “安全 策略 ”界面 ,如 图 3-66 所 示 。 

(7) 进入 实验 虚拟 机 PC1, 打 开 实 验 虚 拟 机 中 的 正 浏览 器 ,在 地 址 栏 中 输入 “http: 
//172.16. 3.100”, 进 入 CMS 网 站 首页 。 成功 访问 此 网 站 ,说 明 添 加 的 行为 管控 规则 有 
效 , 如 图 3-67 所 示 。 

(8) 单 击 “ 开 始 ”, 选 择 “ 命 令 提 示 符 ”, 在 终端 输入 “ftp 172. 16. 3. 100”, 然 后 输入 用 户 
名 ftptest, 按 Enter 键 后 输入 密码 123456 ,发 现成 功 登录 FTP 服务 器 ,如 图 3-68 所 示 。 
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图 3-64 打开 安 全 策略 
编 名 安全 第 略 二 _ 回 | 
源 地 址 /地 区 [any 到 
目的 地 址 /地 区 [any 
服务 [any 
应 用 [any 
来 自 膨 道 【请 还 反感 道 > 
时 间 [请 远 择 时 间 4 
VAN [请 BAVLAN 
( 职 值 范 围 0-4094 ， 柯 式 : 1,3,5-10,12) 
流量 日 志 会 话 结束 


光宇 和 


回 oos 


上 se 


四 安全 WP 


和 
We Eh RI Hi ~ 


ss 
NA [Ew [om Ci (emer | [Cm 
UE sp Ce] mos et /WE Bom/eE [a 
ED Er _ my ey vy 
P.MAcwe 


安全 第 路 i 全 第 路 
国 nar 十 和 ][ Hay |[ Ow ][ us |[ horn |[ Cm 
国 安全 从 十 ES 人 二 下 地 直 / 地 区 目的 内 tt/ 地 区 
Ce Gunn any oy 
[SE 


AIAamn | 


图 3-66 ”安全 策略 界面 
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对 于 PHS 次 注 人 才 系 绩 nm Tdcrms com) - Windows In yet Explerer "| 
2 "|4| xjP sr P 
篇 -~- 国 7 口 坑 - FP) 去 25)- IAIO)- 全 ~ 
4 未 统 !。 泣 亲 ] 。 涡 机 注册 生存 必 京 再 。 同 站 首页 全 
职位 息 工具 箱 ”新闻 沿 会 员 中 上 


二 公理 
anal 
热门 关键 字 : 适 告 代 去 稍 货 经 理 会 让 簿 告 工 理 师 销 悠 肪 再 
令 新 下 载 简 历 谁 下 就 了 7 和 3 向 历 ? 马上 侣 至 查看 习 } 人 更 上 
图 imemer | 促 太 模 元 : 局 用 ”或 100% > 


图 3-67 访问 目标 网 站 成 功 


[h 疏 本 6.1.?681] 
2989 Microsoft Corporation 


3 .188 


word required for ftptest 


?30 User ftptest logged in. 
ftp 


图 3-68 成 功 登录 FTP 服务 器 


【实验 思考 】 
(1) 要 使 防火 墙 能 记录 访问 此 CMS 网 页 的 日 志 信 息 , 应 该 怎 


羊 添加 行为 管控 ? 
(2) 要 使 员工 不 能 在 CMS 网 页 的 空白 框 里 输入 信息 ,应 该 怎样 添加 行为 管控 ? 
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3.3 安全 防护 配置 


3.3.1 防火 墙 反 病 毒 配置 实验 


【实验 目的 】 
管理 员 通 过 配置 防火 墙 的 反 病毒 功能 ,为 流 经 防火 墙 的 数据 进行 病毒 检测 ,提供 基于 
特征 的 病毒 防御 功能 。 


【知识 点 】 
病毒 ,病毒 特征 、 安 全 配置 文件 .安全 域 . 安 全 策略 。 


【场景 描述 】 

A 公司 近期 频繁 遭遇 病毒 攻击 ,对 内 部 网 络 、 计 算 机 、 服 务 器 构成 很 大 的 安全 威胁 ， 
安全 运 维 工程 师 除 了 在 主机 上 安装 病毒 防护 软件 之 外 ,还 需要 在 防火 墙 中 启用 病毒 检测 
功能 ,对 进出 防火 墙 的 数据 进行 病毒 检测 ,防止 病毒 在 内 网 传播 。 请 思考 应 如 何 配置 防火 
墙 的 反 病 毒 功能 。 


【实验 原理 】 

防火 墙 支持 对 HTTP 文件 上 传 和 下 载 . SMTP、POP3、IMAP 协议 发 送 的 电子 邮件 
及 其 附件 等 进行 病毒 扫描 ,根据 扫描 结果 留存 病毒 样本 .并 进行 处 理 。 除 本 地 及 云端 病毒 
库 外 ,管理 员 还 可 自 定义 病毒 对 象 ,并 在 反 病毒 策略 中 引用 自 定义 病毒 对 象 。 在 特殊 情况 
下 ,还 支持 病毒 例外 功能 ,将 指定 的 病毒 放 入 白 名 单 不 进行 处 置 。 


【实验 设备 】 

。 安全 设备 : 防火 墙 设备 1 台 。 

。 网 络 设备 : 路 由 器 1 台 , 二 层 交 换 机 1 台 。 

。 主机 终端 : Windows Server 2003 SP2 主机 1 台 , Windows XP 主机 1 台 , Windows 7 
主机 1 台 。 


【实验 拓扑 】 
实验 拓扑 如 图 3-69 所 示 。 


【实验 思路 】 

(1) 配置 防火 墙 接口 和 安全 域 。 

(2) 配置 对 象 管理 。 

(3) 配置 安全 策略 。 

(4) 配置 静态 路 由 。 

(5) 配置 源 NAT 转换 。 

(6) 未 配置 病毒 检测 策略 前 ,内 网 主机 可 正常 下 载 带 有 病毒 的 压缩 文件 。 

(7) 配置 病毒 检测 策略 后 ,内 网 主机 下 载 带 有 病毒 的 压缩 文件 时 被 阻 断 。 
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ge2: 110.69.70.2/24 
GW: 110.69.70.1 


ge3: 172.16.2.1/24 


gel: 10.0.0.1/24 


FTP 服 务 器 : 124.16.8.100/24 管理 机 : 10.0.0.44/24 PC1: 172.16.2.100/24 
GW: 124.16.8.1 (以 实际 人 P 地 址 为 准 ) GW: 172.16.2.1 


图 3-69 ”防火墙 反 病毒 配置 实验 拓扑 


【实验 要 点 】 
下 一 代 防 火 墙 管理 员 可 依次 单 击 " 对 象 配置 ">“ 安 全 配置 文件 ”一 “ 反 病毒 ”, 添 加 反 
病毒 策略 ,再 单 击 “ 策 略 配 置 ">“ 安 全 策略 ”, 添 加 安全 策略 并 引用 反 病毒 策略 。 


【实验 步骤 】 

(1) 一 (3) 登 录 并 管理 防火 墙 , 检 查 防 火 墙 的 工作 状态 。 

(4) 配置 网 络 接口 。 单 击 面板 上 方 导 航 栏 中 的 “网 络 配置 ”一 接口 ,显示 当前 接口 
列表 , 单 击 ge2 右 侧 “操作 ”中 的 笔 形 标志 ,编辑 ge2 接口 设置 。 

(5) 在 弹出 的 “编辑 物理 接口 "界面 中 ,ge2 是 模拟 连接 Internet 的 接口 ,因此 “安全 
域 ”设置 为 untrust, “工作 模式 ”选中 “路 由 模式 " 单 选 按 钮 ,在 “本 地 地 址 列表 ”中 的 IPv4 
标签 栏 中 , 单 击 “ 十 添加 ”按钮 。 

(6) 在 弹出 的 “添加 IPv4 本 地 地 址 ”界面 中 ,在 “本 地 地 址 ”中 输入 ge2 对 应 的 IP 地 
址 “110. 69.70. 2”,“ 子 网 掩 码 ” 输 入 “255. 255. 255. 0”,“ 类 型 "设置 为 float, 如 图 3-70 
所 示 。 


添加 IPv4 本 地 地 址 加 


本 地 地 址 ”| 110.69.70.2 
子 网 撞 码 | 255.255.255.0 
类 型 | float v 


[we | ws | 


图 3-70 输入 ge2 对 应 IP 地址 


(7) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 .确认 ge2 接口 信息 是 否 无 误 。 
(8) 单 击 “ 确 定 ” 按 钮 ,返回 “接口 "列表 ,继续 单 击 ge3 右 侧 的 笔 形 标 志 , 编 辑 ge3 接 
口 信息 。ge3 接口 模拟 连接 公司 内 网 ,因此 * 安 全域 ?设置 为 trust,“ 工 作 模 式 ” 选 中 “路 由 
模式 ” 单 选 按 钮 ,在 “本 地 地 址 列表 ”一 栏 中 , 单 击 IPv4 一 栏 中 的 “十 添加 ”按钮 。 
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(9) 在 弹出 的 “添加 IPv4 本 地 地 址 ”界面 中 ,“ 本 地 地 址 ”输入 ge3 对 应 的 IP 地 址 
“172. 16. 2. 1”,“ 子 网 掩 码 ” 输 入 “255. 255. 255. 0”, 如 图 3-71 所 示 。 


添加 IPv4 本 地 地 址 


加 


本 地 地 址 “| 172.16.2.1 
子 网 撞 码 ”| 255.255.255.0| 
类 | float 


[we ][ ws ] 


图 3-71 编辑 ge3 接口 信息 


(10) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 ,确认 ge3 接口 信息 是 否 无 误 。 
(11) 单 击 “ 确 定 ” 按 钮 ,返回 “接口 "界面 ,查看 ge2 和 ge3 接口 信息 ,如 图 3-72 所 示 。 


[5 

Ta [De [SS EE 加 
bd wr 

六 四 

前 

mm 四 

而 


图 3-72 “接口 ?列表 


(12) 网 络 接口 设置 完成 后 ,进行 对 象 配置 。 单 击 上 方 导航 栏 中 的 "对象 配置 "一 “地 
址 ”>“ 地 址 ”, 显 示 当 前 的 地 址 对 象 列表 , 如 图 3-73 所 示 。 


面板 分 析 中 心 数据 中 心 处 置 中 心 


地 址 


[十 am ] [Om ][C 电 |] 


地 址 组 I 地 址 


0.0.0.0/0, = 
服务 器 地 址 由 


VPN 地 址 池 


图 3-73 “地 址 ”标签 页 


(13) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 地 址 ”界面 中 ,在 “名 称 ” 中 输入 “内 网 地 址 
段 ”,“IP 地 址 ?输入 ge3 口 对 应 的 IP 地 址 段 “172. 16. 2.0/24”, 如 图 3-74 所 示 。 

(14) 单 击 “ 确 定 ” 按 钮 ,返回 “地 址 ”列表 ,查看 添加 的 内 网 地 址 段 对 象 , 如 
图 3-75 所 示 。 

(15) 配置 地 址 对 象 后 ,配置 基础 安全 策略 。 单 击 上 方 导航 栏 中 的 “策略 配置 ">“ 安 
全 策略 ”, 显 示 当 前 的 安全 策略 列表 ,如 图 3-76 所 示 。 

(16) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 安全 策略 "界面 中 ,在 “名 称 ” 中 输入 “内 网 
访问 外 网 ”,“ 动 作 ” 选 中 “允许 ” 单 选 按钮 ,“ 源 安全 域 ” 设 置 为 trust, “目的 安全 域 ” 设 置 
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添加 地 址 加 


名 称 | 内 网 地 址 段 * (1-63 字 和 禄 ) 


搞 述 (0-127 字 初 ) 
1p 地 址 国 ”| 172.16.2.0/24 


Y 高 级 
确定 取消 
图 3-74 添加 内 网 地 址 段 对象 
Ee Am EY 


口 pm Waza 


ed 


Ee NATIS [+ |] [Baw |][ Ow ][ 1ams |[ h Wesrtwm |] [ CC 
国 安全 证 :Das 亚 安 全 姑 目的 安全 域 


fa 


四 | SSUW 窜 策略 


Ip-MAC 纤 定 


Qes 


图 3-76 ”安全 策略 列表 


为 untrust,“ 源 地 址 /地 区 ”设置 为 * 内 网 地 址 段 ",“ 目 的 地 址 /地 区 ”服务 “应用” 均 设 
置 为 any, 如 图 3-77 所 示 。 

(17) 单 击 “ 确 定 ” 按 钮 ,返回 “安全 策略 ”列表 ,查看 添加 的 安全 策略 ,如 图 3-78 所 示 。 

(18) 配置 静态 路 由 。 单 击 “ 网 络 配 置 ">“ 路 由 ”一 “静态 路 由 ”, 显 示 当 前 的 静态 路 由 
列表 ,如 图 3-79 所 示 。 

(19) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 静态 路 由 ”界面 中 ,“ 目 的 地 址 / 掩 码 ” 保 留 默 
认 的 “0.0.0.0/0.0.0.0”,“ 类 型 "选中 “网 关 ” 单 选 按钮 ,在 “网 关 ” 中 输入 ge2 口外 接 的 路 
由 器 IP 地 址 “110. 69. 70.1”, 如 图 3-80 所 示 。 

(20) 确认 无 误 后 . 单 击 “确定 ”按钮 ,返回 静态 路 由 列表 .查看 添加 的 静态 路 由 信息 ， 
如 图 3-81 所 示 。 

(21) 配置 源 NAT 策略 。 单 击 上 方 导 航 栏 中 的 “策略 配置 "一 “NAT 策略 ”一 “ 源 
NAT”, 显 示 当 前 的 源 NAT 策略 列表 ,如 图 3-82 所 示 。 
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添加 安全 第 略 四 
名 称 ”| 内 网 访问 外 网 | (1-63 字 稳 ) 
拓 述 (0-127 字 乔 
启用 四 
动作 图 fi 许 OB 〇 安全 连接 全 道 ) 
源 安 全 域 | trust ~ 
目的 安全 域 。 | untrust v 


有 ES [ay 
用 [any 

来自 刚 道 | 请 9 下 过 
时 间 | 请 寺 反 时 间 加 


VLAN “| 请 三 和 VLAN 
( 取 值 范围 0-4094 , 格式 : 1,3,5-10,12) 


图 3-78 安全 策略 列表 


静态 路 由 
十 ji |][ Dw ][ Ca ] 
目的 地 址 / 擅 码 | 局 关 


3-79 “静态 路 由 ”标签 页 


类 @ 网 关 O 0 
网 关 | 110.69.70 才 
权重 |1 (1-255) 


[as ][ ws 


图 3-80 ”添加 静态 路 由 


— mn 


图 3-81 静态 路 由 列表 
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源 NAT 目的 NAT NAT64 


[+am ] (Dm ]( ?ems ]( A Nee 


名 称 | 源 地 址 


图 3-82 源 NAT 策略 列表 


(22) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 源 NAT” 界 面 中 ,在 “名 称 ” 中 输入 “内 网 地 
址 转换 ”, 在 “转换 前 匹配 ”一 栏 中 ,“ 源 地 址 类 型 ”选中 “地 址 对 象 ” 单 选 按钮 ,“ 源 地 址 ”设置 
为 “内 网 地 址 段 ”",“ 目 的 地 址 类 型 "选中 “地 址 对 象 ” 单 选 按钮 ,“ 目 的 地 址 “服务 ” 均 设置 为 
any 光 出 接口 ?设置 为 ge2 接口 ;在 “转换 后 匹配 ”一 栏 中 ,“ 地 址 模式 ”选中 “动态 地 址 ” 单 选 
按钮 ,“ 类 型 "设置 为 BY_ROUTE, 如 图 3-83 和 图 3-84 所 示 。 


添加 源 NAT x 


名 称 | 内 网 地 址 转 措 “0-63 字 生 
搞 述 (0-127 字 初 
启用 


3-84 ”配置 源 NAT 策略 (转换 后 ) 


(23) 确认 无 误 后 , 单 击 “确定 ”按钮 ,返回 源 NAT 策略 列表 ,查看 添加 的 源 NAT 策 
略 ,如 图 3-85 所 示 。 


源 NAT 目的 NAT NAT64 


十 和 | (Ds |] (iw ] (A Wes | [Ca ] 


Ds 天 地 址 目的 地 址 。 服务 。 “出 接口 。 转换 后 IP 地 址 。 | 命中 数 
口 内 网 地 址 转 找 。。” 国内 网 地 址 息 。 any any ge2 by route Ao 


四 图 
必要 


图 3-85 源 NAT 策 略 列表 
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(24) 防火 墙 完成 基本 上 网 配置 。 


【实验 预期 】 
(1) 未 配置 反 病毒 检测 策略 前 ,内 网 主机 可 下 载 带 有 病毒 的 压缩 文件 。 
(2) 配置 反 病毒 检测 策略 后 ,内 网 主机 下 载 带 有 病毒 的 压缩 文件 时 被 阻 断 。 


【实验 结果 】 
1) 未 配置 反 病 毒 检测 策略 时 下 载 带 有 病毒 的 压缩 文件 
(1) 登录 实验 平台 中 对 应 实验 拓扑 右 侧 的 Windows XP 虚拟 机 PC1, 如 图 3-86 所 示 。 


ge2: 110.69.70.2/24 
GW: 110.69.70.1 加 ge3: 172.16.2.1/24 


FW 
+ 
Q 
Ss 
Ss 
s 


ge 


EE EE 
FTP 服 务 器 : 124.16.8.100/24 管理 机 : 10.0.0.44/24 PC1: 172.16.2.100/24 
GW: 124.16.8.1 (以 实际 IP 地 址 为 准 ) GW: 172.16.2.1 


图 3-86 登录 虚拟 机 


(2) 双击 桌面 的 火狐 浏览 器 快捷 图 标 ,运行 火狐 浏览 器 ,如 图 3-87 所 示 。 


3-87 运行 火狐 浏览 器 


(3) 在 地 址 栏 中 输入 ge2 接口 连接 的 FTP 服务 器 IP 地 址 *ftp: //124. 16. 8. 100”， 
如 图 3-88 所 示 。 
(4) 单 击 名 称 为 “CodeGreen. zip” 的 文件 ,弹出 “正在 打开 CodeGreen. zip” 的 界面 , 选 
中 “保存 文件 ” 单 选 按钮 .如 图 3-89 所 示 。 
(5) 单 击 “ 确 定 ” 按 钮 ,将 该 文件 保存 至 桌面 ,如 图 3-90 所 示 。 
(6) 单 击 “ 保 存 " 按 钮 ,进入 虚拟 机 桌面 ,可 见 下 载 的 压缩 文档 ,如 图 3-91 所 示 。 
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本 ftp://124.15.8.100/ 的 


€)$|C 


Etp://124. 16 8. 100 IEE 3 | 会 自 县 会 一 


ftp://124. 16. 8. 100/ 的 索引 


国 回 到 上 一 县 文件 
名 称 大 小 修改 时 间 
国 Codeorem a 4 ma00l-l2-!s 4:56:00 


图 3-88 访问 FTP 服务 器 


正在 打开 CodeGreen. zip 


您 选择 了 打开 : 
国 coaecreen. zip 


文件 类 型 ; 好 压 ZIF 压缩 文件 G.7 1B) 
来 源 : ftp://124.16.8.100 


您 想 要 Firefox 如 何 处 理 此 文件 ? 
〇 打开 ,通过 (0) [2345 好 压 侣 
加 [可 文件 可 


图 3-89 ”下载 含有 病毒 的 压缩 文档 


请 输入 要 保存 的 文件 名 


好 压 ZIP 压缩 文件 


图 3-90 ”保存 文件 至 桌面 
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图 3-91 下 载 的 还 有 病毒 的 压缩 文档 


(7) 综 上 所 述 ,在 防火 墙 未 配置 反 病 毒 检测 策略 时 ,内 网 主机 可 下 载 还 有 病毒 的 压缩 
文档 ,满足 预期 要 求 。 

2) 配置 反 病 毒 检测 策略 对 带 有 病毒 的 压缩 文件 阻 断 

(1) 返回 防火 墙 的 Web UI 界面 , 单 击 上 方 导 航 栏 中 的 “对 象 配置 ”一 "安全 配置 文 
件 ”>“ 反 病毒 ”, 列 出 防火 墙 当前 的 反 病毒 安全 配置 文件 列表 ,如 图 3-92 所 示 。 


固 日 


轩 安全 配 村 文件 


(2) 在 * 反 病毒 "界面 中 , 单 击 “十 添加 ”按钮 ,在 弹出 的 “添加 防 病毒 "界面 中 ,在 “名 
称 ” 中 输入 “病毒 检测 ”, 在 “应 用 解码 ”标签 页 中 ,默认 启用 对 所 有 支持 协议 的 检测 ,在 其 中 
的 FTP 协议 一 行 ,将 “动作 ”设置 为 * 阻 断 ”, 如 图 3-93 所 示 。 

(3) 确认 信息 无 误 后 , 单 击 “ 确 定 ” 按 钮 .返回 “ 反 病 毒 ” 安 全 配置 文件 列表 界面 , 列 出 
添加 的 反 病毒 安全 配置 信息 ,如 图 3-94 所 示 。 


图 3-92 “ 反 病 毒 " 界 面 
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名 称 | 病毒 检测 * (1-63 字 稳 


毛 述 (0-127 字 黎 


图 3-93 设置 反 病毒 安全 配置 文件 


反 病 毒 

L+ 和 |] [Dw |]( Ca ] 

名称 样本 留存 协议 方向 动作 引用 操作 
SMTP 日 志 
POP3 日 志 

要 IMAP 日 志 2 
FTP 双向 日 志 
SMB 双向 日 志 
HTTP 双向 日 志 


图 3-94 反 病 毒 安全 配置 文件 列表 


(4) 单 击 上 方 导航 栏 中 的 “策略 配置 >“ 安全 策略 ”, 单 击 其 中 的 “内 网 访问 外 网 ” 策 
略 , 如 图 3-95 所 示 。 


me | em 

国 NT [ 士 翻 ] [Sw [Om | [ws | [sers | (Cm ] 

园 安全 认证 < : 口 2 亚 安生 目的 安全 域 亚 地 址 /地 区 目的 地 址 /| 
pep uust Buntrust 畦 内 网 地 址 段 any 


图 3-95 单 击 “ 内 网 访问 外 网 ”安全 策略 
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(5) 在 弹出 的 “编辑 安全 策略 "界面 中 , 勾 选 “ 流 量 日 志 ” 左 边 的 “会 话 开 始 ”" 和 “会 话 结 
东 " 复 选 框 , 单 击 下 方 的 “高 级 “配置 文件 类 型 "设置 为 “安全 配置 文件 ”, 在 下 方 的 引用 安 
全 配置 文件 列表 中 ,“ 反 病毒 "设置 为 “ 反 病毒 检测 ”, 如 图 3-96 所 示 。 


编辑 安全 策略 四 


VLAN “| 请 输入 VLAN 


( 取 值 范围 0.4094， 档 式 : 1.3.5-10,12) 


流量 日 志 | 网] 会 话 开始 。 也 ] 会 话 结束 


图 3-96 引用 安全 配置 文件 


(6) 确认 信息 无 误 后 , 单 击 “ 确 定 ” 按 钮 ,返回 “安全 策略 ”列表 界面 ,在 “内 网 访问 外 
网 ”安全 策略 一 行 的 “安全 配置 文件 ” 列 ,可 见 增加 了 反 病 毒 图 标 , 如 图 3-97 所 示 。 


re 
Tm ] [sm ] [Dm | [Ins | monn |][ Cam ] ET ql 


I me moe mao Ne 可 四 Fs ES en 
Dons Ge Bo Wr ~ ~ -ee 加 


图 3-97 引用 安全 配置 文件 的 标志 


(7) 登录 实验 平台 对 应 实验 拓扑 右 侧 的 虚拟 机 PC1, 如 图 3-98 所 示 。 

(8) 再 次 在 火狐 浏览 器 中 访问 FTP 服务 器 ,如 图 3-99 所 示 。 

(9) 单 击 “CodeGreen. zip" 文 件 , 此 时 浏览 器 会 显示 该 文件 包含 病毒 ,被 防火 墙 阻 断 ， 
如 图 3-100 所 示 。 

(10) 综 上 所 述 , 防 火 墙 采取 反 病 毒 安全 策略 后 ,内 网 主机 下 载 包含 病毒 程序 文档 时 ， 
被 防火 墙 识 别 其 中 的 病毒 文件 并 阻 断 .满足 预期 要 求 。 


【实验 思考 】 
(1) 如 果 内 网 的 杀毒 软件 需要 更 新 病毒 库 , 如 何 设 置 防火 墙 可 使 得 内 网 杀毒 软件 获 
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ge2: 110.69.70.2/24 


CD GW: 110.69.70.1 加 ge3: 172.16.2.1/24 


mr 


PC1: 172.16.2.100/24 
GW: 172.16.2.1 


FTP 服 务 器 : 124.16.8.100/24 


管理 机 : 10.0.0.44/24 
GW: 124.16.8.1 


(以 实际 人 P 地 址 为 准 ) 
图 3-98 登录 右 侧 虚拟 机 


编辑 加 ) 


x 


€ $ID ep /e188.10 


© [Qs | 全 | 自 最 会 三 
ftp://124. 16. 8. 100/ 的 索引 
国 回 到 上 一 屋 文 件 夫 
名 称 大 小 修改 时 间 
国 coaserven al 


4 1m 2001-l2-15 4:56:00 


图 3-99 访问 FTP 服务 器 


tp://124, 16. mCodeoreen zip X 2 


(€) © p/n is a io/ 


CQ 
The gateway find virus in the file that was transfered by FTP. 


Details: (virus name:Norn[Net] /Win32. CodeGreen virus ID:12199) 
网 关 发 现 FTP 传 输 的 文件 包含 病 : 


大 
详细 信息 ， 病毒 名 [Worm[Net] /Win32. CodeGreen] ;病毒 ID [12199] 


图 3-100 ”病毒 文件 被 防火 墙 阻 断 


取 病 毒 库 数 据 更 新 ? 
(2) 对 于 


F 未 在 病毒 库 样本 中 的 病毒 ,如 何 配置 防火 墙 实现 反 病 毒 安全 防护 ? 
3.3.2 防火 墙 攻击 防护 管理 实验 
【实验 目的 】 


针对 企业 信息 系统 面临 的 泛 洪 、 欺 骗 等 网 络 攻 击 , 通 过 配置 攻击 防护 策略 实现 对 网 络 
攻击 的 防御 。 


【知识 点 】 
泛 洪 攻击 、 恶 意 扫描 攻击 .异常 包 攻击 欺骗 攻击 、 安 全 域 . 安 全 策略 。 
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【场景 描述 】 


A 公司 安全 运 维 工 程 师 通过 监控 软件 发 现 公 司 的 网 络 下 行 带宽 出 现 异常 满载 ,上 行 
带宽 被 挤占 ,导致 公司 日 常 业务 受到 影响 。 安 全 运 维 工程 师 通 过 抓 取 数 据 包 ,发 现 其 中 充 
斥 着 各 种 泛 洪 数 据 包 和 扫描 数据 包 。 为 保护 公司 网 络 资源 ,保障 公司 日 常 业 务 运行 ,请 思 


考 应 如 何 通 过 配置 防火 墙 解决 这 个 问题 。 
【实验 原理 】 
常见 攻击 包含 针对 Flood、 恶 意 扫 描 、 欺 骗 防 护 、 异 常 包 攻击 、ICMP 管控 ,应 用 层 
Flood 等 攻击 的 防护 策略 ,防火 墙 通过 配置 相关 策略 的 处 理 方法 ,如 丢弃 、 警 告 等 方式 ,以 
及 对 各 种 攻击 接收 到 的 数据 包 警 戒 值 的 设 定 , 完 成 对 网 络 攻 击 的 防护 管理 。 
【实验 设备 】 
。 安全 设备 : 防火 墙 设备 1 台 。 
。 网 络 设备 : 2 层 交换 机 1 台 。 


。 主机 终端 : Windows Server 2003 SP2 主机 1 台 ,Windows XP 主机 2 台 ,Windows 7 
主机 1 台 。 


【实验 拓扑 】 
实验 拓扑 如 图 3-101 所 示 。 


ge3 : 172.16.2.1/24 


Web :172.16.2.100/24 
ge2: 124.16.8.1/24 服务 器 


PC2: 124.16.8.100/24 


ge4: 172.16.3.1/24 三 
| 


PC1: 172.16.3.100/24 


管理 机 : 10.0.0.44/24 
(以 实际 IP 地 址 为 准 ) 


图 3-101 ”防火墙 攻击 防护 管理 实验 拓扑 


【实验 思路 】 

(1) 配置 防火 墙 网 络 接口 。 
(2) 配置 防火 墙 的 对 象 配 置 。 
(3) 配置 防火 墙 安全 策略 。 
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(4) 配置 防火 墙 NAT 策略 。 

(5) 针对 泛 洪 攻击 ,设置 防火 墙 “攻击 防护 ”中 的 “Flood” 以 及 “异常 包 攻 击 ” 的 安全 策 
略 , 实 现 对 泛 洪 攻击 的 安全 防护 。 

(6) 针对 恶意 扫描 攻击 ,设置 防火 墙 “攻击 防护 ”中 的 “恶意 扫描 "安全 策略 ,实现 对 恶 
意 扫描 攻击 的 安全 防护 。 

(7) 针对 HTTP Flood 攻击 ,设置 防火 墙 “攻击 防护 ”中 的 “应 用 层 Flood” 安 全 策略 ， 
实现 对 HTTP Flood 攻击 的 安全 防护 。 

(8) 防火 墙 对 遭遇 的 攻击 做 出 响应 ,并 在 日 志 中 展示 反馈 攻击 信息 。 


【实验 要 点 】 

下 一 代 防 火 墙 管理 员 可 依次 单 击 " 策 略 配 置 " 一 “安全 防护 ”>“ 攻 击 防 护 ”, 完 成 攻击 
访问 协议 的 选择 配置 。 

【实验 步骤 】 

(1) 一 (3) 登录 并 管理 防火 墙 ,检查 防火 墙 的 工作 状态 。 

(4) 单 击 面板 上 方 导航 栏 中 的 “网 络 配 置 ”, 单 击 ge2 右 侧 "操作 ”中 的 笔 形 标志 ,编辑 
ge2 接口 设置 。 

(5) 在 本 实验 中 ,ge2 口 用 于 连接 模拟 Internet 的 攻击 者 ,因此 将 ge2 口 IP 设置 为 
“124. 16. 8. 1”, 掩 码 为 “255. 255. 255. 0”, 安 全 域 为 untrust, 后 续 步 又 按照 此 要 求 进 行 调 
整 。 在 “编辑 物理 接口 ?界面 中 ,工作 模式 选中 “路 由 模式 ” 单 选 按钮 , 单 击 本 地 地 址 列表 中 
的 IPv4 标签 列表 中 的 “十 添加 ”按钮 。 如 果 已 有 IP 地 址 设置 , 则 单 击 IP 地 址 右 侧 "操作 ” 
的 笔 形 标 志 , 视 具体 情况 决定 。 

(6) 在 “添加 IPv4 本 地 地 址 ”界面 中 ,输入 本 实验 设 定 的 IP 地 址 ”124. 16. 8. 1”, 该 地 
址 用 于 与 实验 虚拟 机 通信 使 用 ,输入 子 网 掩 码 为 *255. 255. 255. 0”, 类 型 默认 为 float, 如 
图 3-102 所 示 。 


添加 IPv4 本 地 地 址 


本 地 地 址 。 124.16.8.1 
了 网友 [255.255.255.0 


sm [fout 


图 3-102 添加 IPv4 本 地 地 址 


(7) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 ,查看 参数 是 否 设 置 完 毕 ,再 单 击 “ 确 
定 ” 按 钮 ,关闭 “编辑 物理 接口 "界面 。 
(8) 本 实验 中 ,ge3 接口 和 ge4 接口 模拟 连接 公司 内 部 网 络 ,其 中 ,ge3 接口 模拟 公司 
内 部 网 络 中 的 DMZ 区 域 ,分 配 其 IP 地 址 段 为 “172. 16. 2. 0 网 段 ,接口 对 应 IP 为 “172. 
16. 2. 1”;ge4 接口 模拟 公司 内 部 子 网 ,分 配 其 IP 地 址 段 为 “172. 16. 3. 0” ,接口 对 应 IP 为 
“172. 16. 3. 1”, 后 续 步 又 以 此 描述 为 准 。 
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(9) 回 到 “接口 ”界面 中 , 单 击 ge3 接口 右 侧 的 笔 形 标志 ,设置 ge3 接口 IP 地 址 为 


“Ty. 6 2 

(10) 由 于 ge3 接口 连接 的 是 公司 内 网 的 DMZ 区 域 ,因此 设置 其 安全 域 为 DMZ, 在 
“本 地 地 址 列表 ”中 IPv4 编辑 方法 与 ge2 编辑 方法 相同 ,设置 “本 地 地 址 ”为 172. 16. 2. 1”， 
“ 子 网 掩 码 ” 为 “255. 255. 255. 0”, 如 图 3-103 所 示 。 


添加 IPv4 本 地 地 址 x 


本 地 地 址 | 1721621 
子 网 撞 码 ”|255.255.255.0 


| float 


图 3-103 ”编辑 ge3 接口 IP 地 址 参数 


(11) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 ,确认 接口 相关 信息 后 ,再 单 击 “ 确 
定 ” 按 钮 ,返回 “接口 "界面 。 
(12) 选择 ge4 右 侧 “操作 ” 栏 中 的 笔 形 标志 ,编辑 ge4 口 的 接口 信息 。ge4 口 连接 公 


司 内 网 的 接口 ,因此 ge4 的 安全 域 为 trust。 
(13) 单 击 “ 本 地 地 址 列表 ”中 IPv4 右 侧 的 笔 形 标志 ,输入 ge4 接口 的 “本 地 地 址 ”为 


“172. 16. 3. 1”,“ 子 网 掩 码 ” 为 “255. 255. 255. 0”, 如 图 3-104 所 示 。 


本 地 地 址 ”| 172.16.3.1 
子 网 撞 码 ”| 255.255.255.0 
类 | float 


图 3-104 编辑 ge4 接口 IP 地 址 参数 


(14) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 ,确定 ge4 接口 的 相关 信息 后 , 单 击 “ 确 
定 ” 按 钮 ,返回 “接口 "界面 ,查看 ge2、ge3 和 ge4 接口 信息 是 否 调整 完毕 ,如 图 3-105 所 示 。 


124.16.8.1/255255255.0 

ge es fe80:216.31fffee1:380d/64 a a 
172.16.2.1/255.2552550 

9e3 路 由 模式 fe80=216:31fffee1:a80e/64 也 dm 
172.16.3.1/255255255.0 

ee a fe80=216:31fffee1:a801/64 a es 


图 3-105 查看 ge2、ge3 和 ge4 接口 信息 


(15) 设置 好 网 络 接口 后 ,对 连接 ge3 和 ge4 接口 的 IP 地 址 段 进行 对 象 配置 ,以 便 后 
续 进 行 安 全 策略 配置 。 单 击 上 方 导航 栏 中 的 “对 象 配 置 " 一 “地 址 ”>“ 地 址 ”, 会 显示 地 址 
列表 信息 ,如 图 3-106 所 示 。 
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地 址 
口 | 地址 
ny 0.0.0.0/0, >/0 


图 3-106 地 址 界面 


(16) 单 击 “ 地 址 ”界面 中 的 “添加 ”按钮 ,将 DMZ 所 在 的 “172. 16. 2.0/24” 网 段 加 入 地 址 
对 象 中 。 在 “名 称 ” 中 输入 *DMZ 区 域 ”,“IP 地 址 ?输入 “172. 16. 2.0/24”, 如 图 3-107 所 示 。 


名 称 ”| DMZ 区 域 * (1-63 字 初 ) 
搞 述 (0-127 字 稳 
iP 地 址 @@ “| 1721620124 


图 3-107 输入 DMZ 网 段 信息 


(17) 单 击 “ 确 定 ” 按 钮 ,在 “地 址 ”列表 中 会 显示 添加 的 DMZ 区 域 信息 ,如 图 3-108 所 示 。 


地 址 
口 名 称 地 址 
any 0000/o /0 
口 DMzE 域 172.16.2.0/24 


图 3-108 添加 DMZ 区 域 成 功 


(18) 添加 DMZ 区 域 完 成 后 ,继续 单 击 * 添 加 ”按钮 ,将 内 网 主机 地 址 段 “172. 16. 3. 0/ 
24” 添 加 到 地 址 对 象 中 ,如 图 3-109 所 示 。 


添加 地 址 x 
名 称 | 内 网 地 址 段 * (1-63 字 村 
搞 述 (0-127 字 竺 ) 


1p 地 址 国 “| 172163.0/24 


图 3-109 添加 内 网 主机 地 址 段 
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(19) 单 击 “ 确 定 ” 按 钮 ,在 “地 址 ”列表 中 显示 添加 好 的 “DMZ 区 域 "? 和 “内 网 地 址 段 ” 
两 个 地 址 对 象 ,如 图 3-110 所 示 。 


地 址 
[+ | (Dem ][( Cm | 
名 称 | 地址 
any 0.0.0.0/0, :/0 
DMZ 区 域 172.16.2.0/24 
口 内 网 地 址 段 172.16.3.0/24 


3-110 ”完成 添加 地 址 对 象 


(20) 完成 添加 地 址 对 象 后 ,需要 设置 安全 策略 和 NAT 策略 ,以 便 外 网 主机 可 以 访问 
DMZ 区 域 中 的 Web 服务 器 ,以 及 内 网 主机 可 以 连通 外 网 主机 。 

(21) 单 击 上 方 导航 栏 中 的 “策略 配置 ">“ 安 全 策略 ”, 会 显示 当前 防火 墙 中 的 安全 策 
略 列表 。 由 于 尚未 设置 安全 策略 ,所 以 安全 策略 列表 为 空 ,如 图 3-111 所 示 。 


策略 配置 对 象 配置 网 络 配置 


{em 安全 第 略 爷 余 策略 


re [+ | [Gs | [Dw ] [im ] [sworn | (Cm 

国 安全 下 :DD 要 安全 域 目的 安全 域 理 地 址 /地 区 目的 地 址 /地 区 
国 ss 

间 -MAcH 定 

国 oes 

黑白 名 单 

加 会话 限制 


图 全 防护 


3-111 “安全 策略 ?界面 


(22) 单 击 “ 十 添加 ”按钮 ,设置 外 网 访问 内 网 的 安全 策略 。 在 弹出 的 “添加 安全 策略 ” 
界面 中 ,在 “名 称 ” 中 输入 “访问 DMZ 区 域 ",“ 动 作 ” 选 中 “允许 ” 单 选 按 钮 ,“ 源 安全 域 ” 设 
置 为 untrust,“ 目 的 安全 域 * 设 置 为 dmz,“ 源 地 址 /地 区 ”设置 为 any,“ 目 的 地 址 /地 区 ” 设 
置 为 “DMZ 区 域 ",DMZ 区 域 中 的 Web 服务 器 向 外 提供 的 服务 为 HTTP, 因 此 “服务 ” 设 
置 为 HTTP, 如 图 3-112 所 示 。 

(23) 单 击 “ 确 定 ” 按 钮 ,该 条 安全 策略 会 显示 在 “安全 策略 ”列表 中 ,如 图 3-113 所 示 。 

(24) 再 设置 内 网 用 户 访问 外 网 的 安全 策略 , 单 击 “十 添加 ”按钮 ,在 弹出 的 “添加 安全 
策略 ”界面 中 ,在 “名 称 ” 中 输入 “* 内 网 访问 外 网 ”,“ 动 作 ” 选 中 “允许 ” 单 选 按 钮 ,“ 源 安全 域 ” 
设置 为 trust,“ 目 的 安全 域 " 设 置 为 any,“ 源 地 址 /地 区 ”设置 为 “内 网 地 址 段 ",“ 目 的 地 址 / 
地 区 ”服务 “应 用 ” 均 设 置 为 any, 如 图 3-114 所 示 。 

(25) 单 击 “ 确 定 ” 按 钮 .完成 安全 策略 的 添加 ,如 图 3-115 所 示 。 
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访问 DMZ 区 域 = (1-63 字 符 ) 
(0-127 字 物 


请 输入 VLAN 
( 取 值 范围 0-4094 , 楚 式 : 1,3,5-10,12) 


ne (ww 
图 3-112 配置 访问 DMZ 区 域 安全 策略 


m/w 
口 more 人 四 ow Or ~ - EE 加 加 


图 3-113 ”安全 策略 列表 


加 
加 
内 网 访问 外 网 "01-63 字 生 
(0-127 字 多 
思 
© Ox 〇 安全 连接 亿 道 ) 
trust ~ 
any ~ 
请 选择 源 用 户 
内 网 地 址 段 
any 
any 
any 
请 选择 司 道 bd 
请 渤 择 时 间 hd 
请 给 入 VLAN 图 
(他 值 范围 0-4094 , 想 式 : 1,3,5-10,12) Bd 
[本 内 是 


3-114 添加 内 网 访问 外 网 安全 策略 


mm 139 mm 
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天 二 ae pwen Dw aaa en 加 si 
WDNZE De Da a 村 LT a i 0 回 
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图 3-115 ”完成 添加 安全 策略 


(26) 单 击 “策略 配置 ”一 “NAT 策略 ”, 开 始 设 置 NAT 策略 ,为 保护 内 网 用 户 ,需要 设 
置 源 NAT 策略 , 单 击 “ 源 NAT”, 显 示 当 前 的 源 NAT 策略 列表 ,如 图 3-116 所 示 。 


源 NAT 目的 NAT NAT64 


[十 种 ] (Dem ] (Bw ]( Weerm |][ Ca ] 


口外 亚 地 址 | 目的 地 址 


图 3-116 源 NAT 界 面 


(27) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 源 NAT ”界面 中 ,在 “名 称 " 中 输入 “内 网 地 址 
转换 ”。“ 转 换 前 匹配 ”一 栏 中 ,“ 源 地 址 类 型 "选中 “地 址 对 象 ” 单 选 按 钮 ,“ 源 地 址 ”设置 为 “内 
网 地 址 段 ”,“ 目 的 地 址 类 型 ”选中 “地 址 对 象 ” 单 选 按钮 ,“ 目 的 地 址 “服务 “出 接口 ” 均 设置 
为 any。“ 转 换 后 匹配 ”一 栏 中 ,“ 地 址 模式 ”选中 “静态 地 址 ”“ 类 型 "设置 为 IP, “地址 ”中 输入 
ge2 口 的 全 地 址 "124.16.8.1”, 即 内 网 用 户 访问 外 网 ,会 将 其 内 网 网 段 *172. 16. 3.0” 的 全 地 
址 转换 为 *124. 16. 8. 1”, 起 到 隐藏 内 部 网 络 地 址 信息 的 目的 ,如 图 3-117 和 图 3-118 所 示 。 


名 称 | 内 网 地 址 转 措 * (1-63 字 禄 ) 
搞 述 (0-127 字 知 


目的 地 址 类 型 。 @ 地 址 对 象 〇 Ip 地 址 


出 接口 ”| any ~ 


3-117 ”添加 源 NAT 转换 前 匹配 


地 址 模式 。 〇 ”动态 地 址 @ 幕 太 地 址 
美 型 |p bd 
地 址 | 124.16.8.1| 


3-118 ”添加 源 NAT 转换 后 匹配 
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(28) 单 击 “ 确 定 ” 按 钮 ,完成 源 NAT 策略 的 添加 ,如 图 3-119 所 示 。 


AT BINAT NATSt 


Fu | (Om | dm | mors | [Cu 
Dm Er 


De [EE ~ a 


3-119 源 NAT 策略 列 表 


(29) 源 NAT 添加 完成 后 .添加 目的 NAT。 单 击 “ 目 的 NAT” 标 签 ,显示 当前 的 目的 
NAT 策略 列表 ,如 图 3-120 所 示 。 


源 NAT 目的 NAT NAT64 


[十 弄 |] (Dae ] [ tams |( 4 weerm | ( Cm ] 
:品名 称 | 源 地 址 目的 地 址 | 服务 


图 3-120 目的 NAT 策略 列表 


(30) 目的 NAT 主要 用 于 外 网 访问 内 网 服务 器 时 ,通过 防火 墙 将 地 址 转换 为 内 网 对 
应 的 地 址 和 端口 ,在 本 实验 中 目的 NAT 转换 对 应 到 DMZ 区 域 中 Web 服务 器 的 IP 地 址 
“2 TO 4100”， 

(31) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “编辑 目的 NAT” 界 面 中 ,在 “名 称 ” 中 输入 “访问 
DM2”, 在 “转换 前 匹配 ”一 栏 中 ,“ 源 地 址 类 型 ”选中 “地 址 对 象 ” 单 选 按 钮 ,“ 源 地 址 ”设置 
为 any,“ 目 的 地 址 类 型 ”选中 *IP 地 址 ” 单 选 按 钮 ,“ 目 的 地 址 ”输入 *124. 16. 8. 1”( 即 ge2 
口 的 地 址 ),“ 服 务 ” 设 置 为 HTTP,“ 入 接口 ”设置 为 any, 如 图 3-121 所 示 。 


名 称 | 访问 dmz * 01-63 字 夭 


(0-127 字 夭 


源 地 址 类 型 。 加 地 址 对 象 〇 IP 地 址 
源 地 址 |any 
目的 地 址 类 型 。 〇 ”地 址 对 象 @@ iP 地 址 
目的 地 址 124.16.8.1 
服务 |HTTP 
入 给 D |any x 


3-121 “编辑 目的 NAT” 界 面 


(32) 在 “转换 后 匹配 ”一 栏 中 ,“ 地 址 类 型 ”设置 为 *IPv4 地 址 ”, 并 输入 DMZ 区 域 中 
Web 服务 器 的 IP 地 址 “172. 16. 2. 100”, “端口 "设置 为 “端口 ”, 并 输入 HTTP 协议 默认 端 
口 80 ,端口 号 以 实际 Web 服务 器 的 端口 号 为 准 , 如 图 3-122 所 示 。 

(33) 单 击 “ 确 定 ” 按 钮 .完成 目的 NAT 策略 的 添加 ,如 图 3-123 所 示 。 


141 


ee 防火 墙 技术 及 应 用 实验 指导 mm 


(34) 配置 目的 NAT 策略 后 ,基本 网 络 环境 配置 完成 ,为 实现 攻击 防护 的 目的 ,需要 
单 击 “ 策 略 配 置 ">“ 安 全 防护 ”>“ 攻 击 防护 ”, 并 添加 策略 。 


转换 后 匹配 


地 址 类 型 |IPv4 地 址 ”| [172.162.100 | 
黄 D [总 吕 v] [eo | -65539) 


图 3-122 编辑 目的 NAT 策略 


NAT ANAT NAT64 
[+ [Ow | [Em |(h esrn | [Ca 
EE. I (Fett Es XeD Pa 过 DD Sh a tr 
OD wa 自 Hm Tae2100 0 办 加 1 


图 3-123 目的 NAT 策略 列表 


(35) 单 击 “ 攻 击 防护 ”, 列 出 当前 的 攻击 防护 策略 列表 ,如 图 3-124 所 示 。 


ee Cm 


国 安全 证 《 中 安 2 二 Food 杰 间 日 绒 防护 噶 党 包 攻击 1M| 


[Sn 
Ip-MAC 绪 定 
国 oos 
[Cd 


加 sm 


3-124 “攻击 防护 ”界面 


(36) 单 击 “ 十 添加 ”按钮 ,在 “添加 攻击 防护 ”界面 中 ,“ 安 全 域 ” 设 置 为 untrust, 即 将 
ge2 口 代表 的 外 网 加 入 untrust 安全 域 中 。 

(37) 配置 Flood 防护 策略 ,为 验证 有 效 性 ,警戒 值 设置 较 正常 值 偏 低 。 设 置 “SYN 
Flood 处 理 ? 为 “警告 ",“ 警 戒 值 ?设置 为 100(100 人 使 用 的 网 络 建议 值 为 1000)。 设置 
“ICMP Flood 处 理 ” 为 “丢弃 ”“ 警 戒 值 ”设置 为 50(100 人 使 用 的 网 络 建议 值 为 500)。 设 
置 “UDP Flood 处 理 ? 为 “警告 “警戒 值 ? 设 置 为 100(100 人 使 用 的 网 络 建议 值 为 1000)。 
设置 “IP Flood 处 理 ” 为 “丢弃 ”,“ 警 戒 值 ”设置 为 50(100 人 使 用 的 网 络 建议 值 为 500) ,如 
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图 3-125 所 示 。 


编辑 攻击 防护 x 
选择 安全 域 
安全 域 untrust ~ 
Flood 
SYN Flood 处 理 | 警告 警戒 值 ”| 100 “(1-50000 包 / 秒 . 0 表示 不 开启 ) 
ICMP Flood 处 理 | 丢弃 hd 警戒 值 |50 * (1-50000 包 / 秒 , 0 表示 不 开启 ) 
UDP Flood 处 理 | 警告 警戒 值 ”| 100 “0-50000 包 / 秒 ,0 表示 不 开启 ) 
IP Flood 处理 | 丢弃 h4 警戒 值 | 5d| “01-50000 包 / 秒 , 0 表示 不 开启 ) 


图 3-125 配置 Flood 防护 策略 


(38) 配置 恶意 扫描 策略 。“ 禁 止 Tracert” 可 根据 实际 情况 选择 ,在 本 实验 中 为 勾 选 ， 
“IP 地 址 扫描 攻击 处 理 ” 设 置 为 “丢弃”“ 警 戒 值 ”设置 为 100(100 人 使 用 的 网 络 建议 值 为 
1000),“ 端 口 扫描 处 理 ” 设 置 为 “丢弃 "警戒 值 设 置 为 100(100 人 使 用 的 网 络 建议 值 为 
1000) ,如 图 3-126 所 示 。 


恶意 扫 摘 
禁止 Tracert 


PP 地 址 扫描 攻击 处 理 。 | 委 弃 v| 宫 5 值 |100 * (1-5000 富 黎 /10 个 ，0 代 表 不 开启 ) 
请 口 扫 摘 处理 。 | 丢弃 ~ 警戒 值 ”| 10d| * (1-5000 毫 秒 /10 个 ，0 人 雪 不 开启 ) 


图 3-126 配置 恶意 扫描 防护 策略 


(39) 配置 欺骗 防护 。 勾 选 *IP 欺骗 "和 “DHCP 监控 辅助 检查 ” 复 选 框 ,如 图 3-127 


图 3-127 配置 欺骗 防护 策略 


(40) 勾 选 “IP 欺骗 " 复 选 框 ,需要 配置 IP 安全 域 关联 ,此 部 分 等 待 添加 攻击 防护 策略 
完成 后 再 进行 设置 。 
(41) 配置 异常 包 攻 击 。 在 “异常 包 攻 击 ” 一 栏 中 , 勾 选 所 有 复 选 框 ,如 图 3-128 所 示 。 


异常 包 攻击 
ping of Death ”加 Teardrop lp 选项 TCp 异常 
Smurf Fraggle Land Winnuke 
DNS 另 摆 ”四 IP 分 片 


3-128 配置 异常 包 攻击 策略 
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(42) 配置 ICMP 管控 策略 。 在 “ICMP 管控 ”一 栏 中 , 勾 选 所 有 复 选 框 ,如 图 3-129 
所 示 。 


ICMP 管 皖 
禁止 CMP 分 片 付 止 路 直 重 定向 报 文 休止 不 可 达 报 文 休止 超时 报 文 ”四 
ICMP 报 文大 小 限制 四 |1040 * (28-65000) 


图 3-129 配置 ICMP 管控 策略 


(43) 配置 应 用 层 Flood 策略 。 在 “应 用 层 Flood” 一 栏 中 ,“DNS Flood 防护 动作 ” 设 
置 为 “普通 防护 ”,“ 警 戒 值 ”设置 为 100(100 人 使 用 的 网 络 建议 值 为 1000),“HTTP Flood 
防护 动作 ”设置 为 “普通 防护 ”“ 和 警戒 值 ”设置 为 100(100 人 使 用 的 网 络 建议 值 为 1000)， 
如 图 3-130 所 示 。 


应 用 层 Flood 
DNS Flood 防护 动作 。 | 普通 防护 v| 。 车 或 值 |100 * (1-50000 包 / 秒 ,0 表示 不 开启 ) 
HTTP Flood 防护 动作 。 | 普通 防护 警戒 值 ”| 100| * (1-50000 包 / 秒 ，0 表 示 不 开启 ) 


图 3-130 配置 应 用 层 Flood 策略 


(44) 配置 SYN Cookie 策略 。 在 “SYN Cookie” 一 栏 中 , 勾 选 “启用 ” 复 选 框 , MSS 使 
用 默认 的 1460 即 可 ,如 图 3-131 所 示 。 


* (512-1460) 


图 3-131 配置 SYN Cookie 策略 


(45) 配置 “攻击 防护 ”策略 完成 后 ,会 在 列表 中 显示 该 策略 内 容 , 如 图 3-132 所 示 。 


Wi Px 
+n | [Om | [Cw | 
四 mood 


3-132 ”攻击 防护 策略 列表 


(46) 此 时 需要 完成 第 40 步 中 提 到 的 “IP 安全 域 关 联 ” 策 略 配 置 , 单 击 右 侧 的 “IP 安 
全 域 关 联 ”, 如 图 3-133 所 示 。 

(47) 将 ge2、ge3 和 ge4 接口 对 应 的 “124. 16. 8. 0"“172. 16. 2. 0"“172. 16. 3. 0” 三 个 
网 段 添加 到 IP 安全 域 关 联 中 。 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 IP 安全 域 关 联 ” 界 面 
中 ,在 “本 地 地 址 ”中 输入 “124. 16. 8.0”,“ 子 网 掩 码 ” 中 输入 “255. 255. 255. 0”,“ 安 全 域 " 设 
置 为 untrust, 将 ge2 接口 对 应 的 IP 地 址 段 加 入 IP 安全 域 关 联 中 ,如 图 3-134 所 示 。 

(48) 添加 ge3 接口 IP 安全 域 关 联 。 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “编辑 IP 安全 域 
关联 ”界面 中 ,在 “本 地 地 址 ”中 输入 “172. 16. 2. 0”,“ 子 网 掩 码 ” 中 输入 “255. 255. 255. 0”， 
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“安全 域 ” 设 置 为 dmz, 如 图 3-135 所 示 。 


面板 分 析 中 心 数据 中 心 处 置 中 心 策略 配置 


U gem 攻击 防护 1P 安 全 域 关联 
bo +m ]( Dw ][ Ca ] 
国 安全 认证 《 口 ] 本 地 地 址 


图 ssL 解 宅 策 略 


口 


IP-MAC 铸 定 


本 Qos 


蝇 黑 所 名单 

辕 会 大 限制 

印 安全 防护 v 
攻击 防护 
局 域 网 广播 防护 


DHCP 监 控 信 息 


图 3-133 ”IP 安全 域 关联 列表 


124.16.8.0 


子 网 掩 码 。 | 255.255.255.0 


untrust 


图 3-134 添加 ge2 口 关联 


本 地 地 址 ”| 172.16.2.0 
子 网 挤 码 ”| 255.255.255.0 
安全 域 | dmz ~ 


图 3-135 添加 ge3 口 关 联 


(49) 添加 ge4 接口 IP 安全 域 关联 。 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “编辑 IP 安全 域 
关联 ”界面 中 ,在 “本 地 地 址 ”中 输入 “172. 16. 3. 0”,“ 子 网 掩 码 ”中 输入 “255. 255. 255. 0”， 
“安全 域 ” 设 置 为 trust, 如 图 3-136 所 示 。 
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编辑 IP 安 全 域 关联 


本 地 地 址 | 172.16.3.0 
子 网 挤 码 。 | 255.255.255.0 
安全 域 | trust a 


[= Iw 


图 3-136 添加 ge4 口 关联 


(50) 添加 ge2、ge3 和 ge4 口 的 IP 安全 域 关联 后 ,在 "IP 安全 域 关 联 ?列表 ,会 显示 相 
关 信 息 , 如 图 3-137 所 示 。 


攻击 防护 IP 安 全 二 关联 
EE [Cm ] 
口 和 由 直 | 了 | 安全 域 
口 1241680 255.255.2550 untrust 
口 21620 2552552550 dmz 
口 21630 


255.255.2550 


图 3-137 IP 安全 域 关联 列表 


【实验 预期 】 

(1) 外 网 攻击 者 主机 可 正常 访问 DMZ 区 域 中 的 Web 服务 器 。 

(2) 内 网 主机 可 正常 ping 通 外 网 攻击 者 主机 ,用 于 测试 内 网 访问 外 网 的 网 络 联 
通 性 。 

(3) 外 网 攻击 者 发 起 泛 洪 攻击 ,防火 墙 接 收 到 的 泛 洪 攻击 数据 包 达 到 预 设 的 警戒 值 
后 ,对 接收 到 的 泛 洪 攻击 数据 包 按照 预 设 的 处 理 方法 处 理 。 

(4) 外 网 攻击 者 扫描 防火 墙 对 外 端口 (ge2) ,防火 墙 接收 到 扫描 数据 包 后 ,进行 警告 。 

(5) 外 网 攻击 者 发 起 HTTP Flood 攻击 ,防火墙 接收 到 的 HTTP Flood 攻击 数据 包 
达到 预 设 的 警戒 值 后 ,进行 警告 。 

【实验 结果 】 

1) 外 网 攻击 者 主机 访问 内 网 DMZ 区 域 Web 服务 器 


(1) 登录 实验 平台 中 实验 拓扑 左 侧 的 虚拟 机 PC2( 该 虚拟 机 作为 模拟 外 网 攻击 者 ,后 
续 实 验 同 理 实施 ) ,如 图 3-138 所 示 。 


(2) 双击 桌面 上 的 火狐 浏览 器 快捷 图 标 ,如 图 3-139 所 示 。 
(3) 在 浏览 器 地 址 栏 中 输入 “124. 16. 8. 1”( 火 狐 浏 览 器 默认 采用 http 方式 ,因此 地 
址 栏 中 未 输入 http: //) ,可 以 正常 显示 网 站 ,如 图 3-140 所 示 。 
(4) 综 上 所 述 ,外 网 主机 可 以 访问 内 网 DMZ 区 域 Web 服务 器 ,满足 预期 要 求 。 
2) 内 网 主机 连通 外 网 


(1) 登录 实验 平台 中 实验 拓扑 右 侧 的 虚拟 机 PC1( 该 虚拟 机 作为 模拟 内 网 用 户 ) ,如 
图 3-141 所 示 。 


(2) 单 击 Windows 开始 菜单 ,在 其 中 单 击 “ 命 令 提 示 符 ”, 如 图 3-142 所 示 。 
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ge3: 172.16.2.1/24 


ge2: 124.16.8.1/24 


PC2: 124.16.8.100/24 


PC1: 172.16.3.100/24 


管理 机 : 10.0.0.44/24 
(以 实际 IP 地 址 为 准 ) 


图 3-138 登录 拓扑 左 侧 虚 拟 机 


图 3-139 双击 火狐 浏览 器 快捷 图 标 


(3) 通过 命令 ping ,测试 是 否 可 以 连通 外 网 主机 “124. 16. 8. 100”, 测 试 内 网 与 外 网 之 
间 是 否 连通 ,在 弹出 的 命令 提示 符 窗口 中 输入 命令 “ping 124. 16. 8. 100”, 按 Enter 键 查看 
窗口 中 输出 的 内 容 , 如 图 3-143 所 示 。 

(4) 从 返回 结果 可 验证 内 网 用 户 可 以 连通 外 网 , 综 上 所 述 ,满足 预期 要 求 。 

3) 外 网 泛 洪 攻击 防护 

(1) 返回 模拟 外 网 用 户 的 虚拟 机 ,进入 桌面 的 “实验 工具 ”文件 夹 一 “ 泛 洪 攻击 "文件 
夹 , 如 图 3-144 所 示 。 

(2) 双击 其 中 的 UDP Flooder. exe 程序 ,运行 泛 洪 攻击 工具 开始 对 防火 墙 进行 泛 洪 
攻击 测试 ,其 中 ,Host 设置 为 被 攻击 的 IP 地 址 .如 图 3-145 所 示 。 

(3) 单 击 攻击 软件 界面 中 Ports 一 栏 中 的 “十 ,添加 HTTP 协议 默认 端口 80 为 被 攻 
击 端口 ,如 图 3-146 所 示 。 
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Pp 高 洋人 才 系 统 ore… x 
Oia 1681 C | Qs 家 | 自 县 会 加 


欢迎 来 到 骑士 人 才 系 统 ! 。 医科 | 。[ 席 费 注册 | 信友 而 | 网站 页 | 部 8 | 固 手 机 壕 | Q 和 ”图 


转 名 Ws 


- 招聘 信息 。“ 微 招 聘 。 ”求职 信息 。 亚 工 具 箱 ”新 闻 资讯 。 会员 中 心 。 进入 论坛 


当 商 位 于 网 引 首 页 
搜索 职位 企业 站 钙 ，0 有效 职 位 ，0 有 效 简历 ，0 会 员 总 超 : 0 凤 发 布 招聘 区 十 号 简历 可 | 
| ey 
| 次 站 类 人 字 铂 入 代表 销售 经理 会计 销售 工程 销售 助理 姜末 呆 位。 二 条 人 | 
| 
最 新 下 载 简历 准 下 载 了 玫 的 和 历 ;马上 下 双 二 在。 本 周 热点 职位 | -和 
| 
| 
推荐 职位 杜 也 要 出 现在 这 里 | 更 名 呐 人 e 紧急 招聘 
上 4 = 


图 3-140 浏览 器 访问 网 站 正常 


ge3: 172.16.2.1/24 


Web 服 务 器 : 172.16.2.100/24 


ge2: 124.16.8.1/24 


PC2: 124.16.8.100/24 


ge4: 172.16.3.1/24 


gel: 10.0.0.1 


PC1: 172.16.3.100/24 


管理 机 : 10.0.0.44/24 
(以 实际 了 P 地 址 为 准 ) 


3-141 登录 拓扑 右 下 侧 虚 拟 机 


(4) 单 击 OK 按钮 ,添加 端口 完成 后 ,将 “Flood Type” 设 置 为 UDP.,“Packets/S” 设 置 
为 1000, 表 示 泛 洪 攻击 类 型 为 UDP Flood, 攻击 速率 为 1000 个 数据 包 每 秒 , 如 
图 3-147 所 示 。 

(5) 设置 好 攻击 参数 后 , 单 击 下 方 的 Flood 按钮 ,开始 攻击 。 此 时 右 击 Windows 任 
务 栏 , 在 弹出 的 菜单 中 选择 “任务 管理 器 ”, 如 图 3-148 所 示 。 
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Administrator 


给 * 全 

上 要 最 近 的 文 着 中 ) 
二 
(MT 小 用 的 音乐 

虽 samgo 

全 7 RE 得 序 访问 和 对 认 值 

打印 机 和 传真 


多 ) 二 助 和 支持 虽 


让 并 日 


所 有 程序 Z) 及 加 二 


辆 =#w Gxnv 


Microsoft Windows XP [版 术 
CC》 版 本 1985-2981 Micro: 


GC:\Docunents and Settings\Adninistrator)ping 12 


.8.198 with 32 bytes of data 


16.8-199: by ims TII 

from 124.16.8.198: bytes=3 tms ITL 
y from 124-16-8-198: hb tms TIL 
ly fron 124.16.8.180: bytes=32 ims ITI 


ceived = 4. Le 日 
Approxinate round trip tines in nilli ond 
Minimum = gms。Maxinum = ims, Average = Bn 


C: \Docunents and Settings Adninistrator), 


图 3-143 使 用 ping 命令 测试 内 网 外 网 是 否 连通 


文件 FF) ”编辑 耿 ) 查看 久 ) 收 寨 由 ) 工具) 帮助 人 0 


Oar- © -他 | Pa Bz | 回 - 


增 泪 加 | 加 C:\Documents and Settings\Adninistrator\ 卓 面 \ 实 验 工具 \ 


文件 和 文件 夹 任务 


加 妾 一 个 新 文件 天 
@ TR 
局 共享 此 文件 天 


图 3-144 进入 泛 洪 攻击 工具 文件 夹 
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图 3-145 ”运行 泛 洪 攻击 工具 


+ hams . 


Please enter a port to add 


Cor | ce | 


图 3-146 ”添加 被 攻击 端口 


(6) 在 弹出 的 “Windows 任务 管理 器 ”中 , 单 击 “ 联 网 ”标签 ,查看 当前 的 网 络 资源 情 
况 ,后续 攻击 步骤 均 可 采用 这 种 方式 查看 攻击 包 是 否 发 出 ,如 图 3-149 所 示 。 
(7) 通过 查看 网 络 资源 利用 情况 ,可 获知 当前 已 发 出 攻击 包 。 
(8) 返回 本 地 实验 主机 PC1, 登 录 防 火 墙 后 ,在 “面板 "页面 ,可 看 到 右上 方 黄色 威胁 
事件 报警 信息 ,如 图 3-150 所 示 。 
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* WarFlood 


+ AddRange - 


图 3-147 选择 攻击 类 型 和 攻击 速率 


工具 栏 G) 


层 得 窗口 E) 
横向 平 铺 窗口 0 
纵向 平 铺 窗 口 EE) 
显示 点 而 G) 


em| 
v 镇 定 任务 栏 L) 
属性 8) 


图 3-148 开始 攻击 


(9) 单 击 报警 信息 下 方 的 “威胁 详情 ”, 跳 转 到 “威胁 日 志 ” 页 面 ,可 查看 当前 的 威胁 是 
UDP flood 攻击 ,以 及 攻击 者 和 被 攻击 者 等 详细 信息 ,如 图 3-151 所 示 。 
(10) 返回 外 网 虚拟 机 PC2, 在 攻击 软件 界面 将 “Flood Type” 设 置 为 "ICMP”, 如 
图 3-152 所 示 。 
151 


防火墙 技 术 及 应 用 实验 指导 mm 


号 Windows 任务 管理 器 
文件 外 选项 0) 查看 WD) 帮助 0 


属 助 日 志 
ET 
;县 作 | 样本 时间 牙 击 有 政 击 有 名 冬 和 志和 
© oO 2070915165721 Ce 
四 四 & 207-09-15 165609 124.1608100 12416.8.1 
四 加 点 2017-09-151656401 124168.100 1241681 
01516543 12416810 Tea 


图 3-152 修改 攻击 类 型 
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(11) 再 次 返回 防火 墙 的 “数据 中 心 >“ 威 胁 日 志 ”, 可 看 到 威胁 信息 中 增加 了 ICMP 
超大 包 的 威胁 信息 ,如 图 3-153 所 示 。 


威胁 日 志 
| 请 纺 入 坦 交 内容 
; 损 作 | 样本 | 时间 后 把关 型 一 名 条 严重 性 
四 © 二 。 2017-09-151740505 。 攻 二 防护 CE E3 
四 @ 昌 ”上 半 。 2017-09-1517.05.05 攻 二 防护 UDp flood 攻 击 E3 
© © 由 2017.09.1517.03.52 。 攻 二 护 沪 UDp flood 下 去 E3 


图 3-153 ICMP Flood 攻击 威胁 


(12) 以 UDP Flood 和 ICMP Flood 为 例 , 防 火 墙 在 受到 外 网 泛 洪 攻击 后 , 设 定 的 防 


护 策略 生效 ,满足 预期 要 求 。 

(13) 返回 外 网 攻击 虚拟 机 PC2 , 单 击 攻击 软件 中 的 “Stop” 按 钮 ,停止 泛 洪 攻击 ,以 便 
进行 后 续 实 验 。 

4) 外 网 扫描 防护 

(1) 进入 外 网 攻击 虚拟 机 PC2, 打 开 桌 面 的 “实验 工具 "文件 夹 >“ 扫 描 攻 击 ” 文 件 夹 ， 
如 图 3-154 所 示 。 


文件 EE) 编辑 于) 查看 收藏 A) 工具 XI) 帮助 0 


O 扫 : 卓 -上 访 用 捞 巨 XH | 国 - 


地 址 加 ) | 已 C:\Docnents and Settines\Adninistrator\ 虎 面 \ 实 验 工具 \ 扫 撕 攻 击 
名 称 和 ~ 大 小 | 类 型 
文件 和 文件 夹 任务 | er zr 46 三 “应 用 程序 


图 3-154 进入 扫描 攻击 文件 夹 


(2) 双击 其 中 的 ScanPort. exe 程序 ,运行 扫描 端口 软件 ,在 软件 界面 的 “起 始 IP” 和 
“结束 IP” 中 输入 IP 地 址 “124. 16. 8. 1”,“ 端 口号 ”中 输入 *1-65535”, 表 明 当 前 扫描 主机 为 
“124. 16. 8. 1” ,端口 范 围 为 “1-65535”, 如 图 3-155 所 示 。 

(3) 单 击 “ 扫 描 ” 按 钮 开始 扫描 端口 ,扫描 软件 界面 会 显示 扫描 结果 ,如 图 3-156 
所 示 。 

岂 ScanPort 
信息 设置 3 给 结果 一 信息 设置 
起 NIP:[124 .163 .8 .1 起 始 IF:[124 163 .8 1 


结束 IP:|124 .163 . 8 .1 | 结束 IF: 124 .163. 8 .1 
端口 号 :|1-65535 | 端口 号 :65535 


时 ; 200 毫秒 超 时 : 200 毫秒 
并 程 数 ; 10 | 线程 数 10 


| -| aw | EB 地 | 


图 3-155 设置 扫描 端口 参数 图 3-156 开始 扫描 端口 
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(4) 登录 防火 墙 设备 , 单 击 “ 数 据 中 心 ” 一 “威胁 日 志 ”, 可 查看 新 增 端 口 扫 描 的 威胁 信 
息 , 如 图 3-157 所 示 。 


本 
品 
[EGEH 


端口 扫描 威胁 


机 


(5) 返回 攻击 虚拟 机 PC2 ,在 ScanPort 扫描 端口 软件 中 , 单 击 * 停 止 ”> 一“ 退出”, 完 成 
扫描 端口 攻击 测试 。 
(6) 综 上 所 述 ,防火 墙 受 到 端口 扫描 时 ,可 以 按照 安全 策略 进行 对 应 处 置 , 满足 预期 
要 求 。 
5) 外 网 HTTP Flood 防护 
(1) 进入 外 网 攻击 虚拟 机 PC2 ,打开 桌面 的 “实验 工具 "文件 夹 一 应 用 层 Flood" 文 件 
夹 ,如 图 3-158 所 示 。 
篇 应 用 层 Flood 
文件 到 编辑 下 ) 查看 收 戌 入 工具 CD) 帮助 o 
四 银 :- > .EE 
地 址 四) | 已 C:\Documents snd SettingsWdninistrater\ 虞 面 \ 实 验 工具 \ 应 用 层 Plood 悦 园 关 


文件 和 文件 卖 任务 


名 尘 一 个 新 文件 到 
站 的 这 和文 听 玫 到 


中 共享 此 文件 天 


图 3-158 进入 应 用 层 Flood 文件 夹 


(2) 双击 其 中 的 LOIC. exe 程序 ,运行 HTTP Flood 软件 ,在 软件 界面 的 “IP” 中 输入 
IP 地 址 “124. 16. 8. 1”, 并 单 击 右 侧 的 Lock on” 按 钮 ,之 后 在 “Selected target” 中 会 显示 该 
IP 地 址 ,如 图 3-159 所 示 。 


When harpoons, air strikes and nukes fails | v. 1-0.8-0 


124.16.8.1 


图 3-159 设置 攻击 主机 并 锁定 
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(3) 设置 攻击 参数 。 在 “Attack options” 一 栏 中 ,将 Method 设置 为 HTTP, 不 勾 选 
“Wait for reply” 复 选 框 ,如 图 3-160 所 示 。 


图 3-160 配置 攻击 参数 


(4) 配置 攻击 目标 和 参数 后 , 单 击 软件 右上 方 的 *IMMA CHARGIN MAH LAZER” 
按钮 ,开始 攻击 ,在 软件 界面 下 方 会 显示 当前 攻击 状态 ,如 图 3-161 所 示 。 


| When harpoons, air strikes and nukes fails | v. 1.0.8-0 


图 3-161 开始 攻击 


5) 登录 防火 墙 设备 , 单 击 “ 数 据 中 心 ”>“ 威 胁 日 志 ”, 可 查看 新 增 端 口 扫 描 的 威胁 信 
息 , 如 图 3-162 所 示 。 


rs 
Te 


EL nse ae az as 2 Cs mes 本 aa 


BE 日 


图 3-162 检测 出 HTTP Flood 攻击 


(6) 返回 攻击 虚拟 机 PC2, 在 LOIC 扫描 端口 软件 中 , 单 击 右 上 方 的 “Stop flooding” 
按钮 ,停止 HTTP Flood 攻击 
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(7) 综 上 所 述 ,防火 墙 受到 HTTP Flood 攻击 时 ,可 以 按照 安全 策略 进行 对 应 处 置 ， 


满足 预期 要 求 。 


【实验 思考 】 
(1) 发 生 攻击 后 ,如 何 确定 攻击 防护 的 作用 域 ,使 得 防火 墙 达到 预期 的 攻击 防护 目的 ? 
(2) 多 种 泛 洪 攻击 是 利用 TCP/IP 协议 的 缺陷 实现 攻击 的 目的 ,在 防火 墙 中 针对 


TCP 三 次 握手 协议 进行 修改 ,专门 防范 SYN Flood 攻击 的 设置 是 什么 ? 


3.4 网 络 应 用 配置 


3.4.1 防火 墙 IPSec VPN 实验 

【实验 目的 】 

配置 IPSec VPN 连接 ,使 得 分 支 机 构 通过 VPN 方式 连接 总 部 服务 器 。 
【知识 点 】 

IPSec 协议 .VPN、 静态 路 由 .安全 域 .安全 策略 。 


【场景 描述 】 
A 公司 总 部 在 北京 ,由 于 业务 扩展 ,在 西安 建立 分 公司 。 为 了 获取 分 部 业务 数据 ,总 


公司 的 员工 需 通 过 内 网 地 址 访问 分 部 的 内 网 业务 服务 器 。 公 司 将 这 个 任务 交 给 了 网 络 安 
全 运 维 工程 师 , 并 且 告 诉 他 ,目前 总 部 部 署 了 一 台 防 火 墙 ,分 部 网 络 出 口 有 一 台 路 由 器 , 需 
要 配置 防火 墙 的 IPSec VPN 功能 ,实现 总 部 与 分 部 路 由 器 之 间 建 立 VPN 隧道 ,将 分 部 和 
总 部 连接 起 来 ,使 得 总 部 内 网 主机 可 访问 分 部 内 网 的 业务 服务 器 ,获取 分 部 的 网 站 数据 。 
请 思考 应 如 何 配置 防火 墙 的 IPSec VPN。 


【实验 原理 】 
VPN 是 一 种 广泛 用 于 组 织 总 部 和 分 支 机 构 之 间 组 网 互 连 的 技术 ,利用 已 有 的 互联 网 


网 络 虚拟 构建 一 条 “专线 ”, 将 总 部 和 分 支 机 构 连 接 起 来 ,形成 一 个 大 的 局 域 网 。 通 过 
IPSec 协议 ,可 以 为 总 部 和 分 支 机 构 之 间 的 通信 提供 加 密 , 保 证 通信 及 数据 的 安全 。 通 过 
对 防火 墙 " 网 络 配置 "中 的 IPSec IKE 网 关 、IPSec 隧道 进行 配置 ,可 实现 与 外 网 VPN 网 
络 设备 的 互联 互通 。 


156 


【实验 设备 】 

。 安全 设备 : 防火 墙 设备 1 台 。 

。 网 络 设备 : 2 层 交 换 机 1 台 ,路 由 器 1 台 。 

。 主机 终端 : Windows Server 2003 SP2 主机 1 台 .Windows XP 主机 1 台 ,Windows 主 
机 1 台 。 


【实验 拓扑 】 
实验 拓扑 如 图 3-163 所 示 。 
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ge2: 110.69.70.2/24 ge3: 172.16.2.1 


PC1: 172.16.2.100 
GW: 172.16.2.1 


gel: 10.0.0.1 


Web 服 务 器 : 172.16.1.100/24 管理 机 : 10.0.0.44/24 
GW: 172.16.1.1 (以 实际 IP 地 址 为 准 ) 


图 3-163 防火墙 IPSec VPN 实验 拓扑 


【实验 思路 】 

(1) 配置 防火 墙 接口 地 址 。 

(2) 配置 静态 路 由 。 

(3) 配置 防火 墙 IPSec VPN 第 一 阶段 IKE 提议 和 IKE 网 关 。 
(4) 配置 防火 墙 IPSec VPN 第 二 阶段 IPSec 提议 和 IPSec 网 关 。 
(5) 配置 进入 隧道 的 安全 策略 。 

(6) 配置 来 自 隧道 的 安全 策略 。 


【实验 要 点 】 

理解 JPSEC VPN 的 工作 过 程 ,以 及 IPSEC VPN 的 两 个 工作 阶段 及 各 个 阶段 相关 的 
协议 ,IPSEC VPN 对 等 体 双方 在 两 个 工作 阶段 协商 过 程 中 必须 保持 一 致 的 协商 策略 。 

下 一 代 防 火 墙 管 理 员 可 依次 单 击 “ 网 络 配 置 ”>“VPN”>“IPSec IKE 网 关 ”, 完 成 相 
关 配 置 。 


【实验 步 又】 

(1) 一 (3) 登录 并 管理 防火 墙 ,检查 防火 墙 的 工作 状态 。 

(4) 配置 网 络 接口 。 单 击 面板 上 方 导航 栏 中 的 “网 络 配置 ”接口 ”, 显 示 当 前 接口 
列表 , 单 击 ge2 右 侧 “操作 ”中 的 笔 形 标志 ,编辑 ge2 接口 设置 ,如 图 3-164 所 示 。 


mn 

EF-:—welE 

5 | me we me 器 对 em mm 
~ ee a a 器 1 
上 ee 天 a a 吾 
癌 ma 天 中 日 加 了 
~ ae 昌 9 四 


图 3-164 编辑 ge2 接口 


(5) 在 弹出 的 “编辑 物理 接口 ?界面 中 ,ge2 是 模拟 连接 Internet 的 接口 ,因此 “安全 
域 ? 设 置 为 untrust,“ 工 作 模式 ”选中 “路 由 模式 " 单 选 按 钮 ,在 “本 地 地 址 列表 ”中 的 IPv4 
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标签 栏 中 , 单 击 “ 十 添加 ”按钮 ,如 图 3-165 所 示 。 


编辑 物理 接口 加 | 
物理 接口 ”加 启 用 
名 称 | ge2 * 
MAC 地 址 | 00:16:31:e1:a8:0d 恢复 默认 
虚 MAC 地 址 00:00:00:10:02:00 
搞 述 (0-127) 人 字符 
安全 域 untrust ~ 
工作 模式 。 加 路 由 模式 〇 六 模式 口 这 路 模式 
x | 操作 
[Cra J ] 


图 3-165 编辑 ge2 接口 


(6) 在 弹出 的 “添加 IPv4 本 地 地 址 ”界面 中 ,在 “本 地 地 址 ”中 输入 ge2 对 应 的 全 地址 
“110. 69. 70. 2”,“ 子 网 掩 码 ” 输 入 “255. 255. 255.0”,“ 类 型 "设置 为 float, 如 图 3-166 所 示 。 


添加 IPv4 本 地 地 址 加 | 


本 地 地 址 | 110.69.702 
子 网 撞 码 | 255.255.255.0 
类 | float v 


[三 几 到 江 


图 3-166 输入 ge2 对 应 IP 地 址 


(7) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 ,确认 ge2 接口 信息 是 否 无 误 , 如 
图 3-167 所 示 。 

(8) 单 击 “ 确 定 ” 按 钮 ,返回 “接口 ”列表 ,继续 单 击 ge3 右 侧 的 笔 形 标志 ,编辑 ge3 接 
口 信息 。ge3 接口 模拟 连接 公司 内 网 ,因此 “安全 域 ”设置 为 trust,“ 工 作 模 式 ” 选 中 “路 由 
模式 ” 单 选 按钮 ,在 “本 地 地 址 列表 ”一 栏 中 , 单 击 IPv4 一 栏 中 的 “十 添加 ”按钮 ,如 
图 3-168 所 示 。 

(9) 在 弹出 的 “添加 IPv4 本 地 地 址 ”界面 中 ,在 “本 地 地 址 ”中 输入 ge3 对 应 的 全 地 
址 “172. 16. 2.1”,“ 子 网 掩 码 ” 输 入 “255. 255. 255.0”, 如 图 3-169 所 示 。 

(10) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 ,确认 ge3 接口 信息 是 否 无 误 ,如 
图 3-170 所 示 。 
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四 启用 


» 


ge2 


00:16:31:e1:6a:67 


00:00:00:10:02:00 


(0-127) 人 字符 


| 了 | 类 | 


110.69.702 255.255.255.0 float 


图 3-167 确认 ge2 接口 信息 


四 启用 


» 


ge3 


00:16:31:e1:a8:0e 


00:00:00:10:03:00 


(0-127) 个 字符 


3-168 “编辑 物理 接口 ?界面 
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添加 IPv4 本 地 地 址 国 
本 地 地 址 [172.16.2I 站 
子 网 掩 码 [255.255.255.0 
类 型 [float a 
EE 


图 3-169 ”编辑 ge3 接口 信息 


物理 接口 ”四 启用 
9 J 
MAC 地 址 ”| 00:16:31:e1:a8:0e 恢复 默认 
虑 MAC 地 址 | 00:00:00:10:03:00 
搞 述 (0-127) 个 字符 
安全 域 | trust ~ 
工作 模式 。 峡 路 由 模式 。 〇 交换 模式 。 〇 旁 路 模式 
HA 组 |0 ~ 


IPv4 Ipv6 
轿 静 志 地 址 ©O DHcp 
十 添加 ] [ 口 We 


本 地 地 址 FR x | me | 
口 1721621 255.255.255.0 float sa 


图 3-170 查看 ge3 接口 信息 


(11) 单 击 “ 确 定 ” 按 钮 ,返回 “接口 "界面 ,查看 ge2 和 ge3 接口 信息 ,如 图 3-171 所 示 。 


3-171 “接口 "列表 


(12) 网 络 接口 设置 完成 后 ,进行 静态 路 由 配置 ,建立 防火 墙 和 分 部 路 由 器 之 间 的 
连接 。 

(13) 单 击 * 网 络 配置 ”一 “路 由 ?一 “静态 路 由 ”, 显示 当前 的 静态 路 由 列表 ,如 
图 3-172 所 示 。 

(14) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 静态 路 由 ”界面 中 ,在 “目的 地 址 / 掩 码 ”中 输 
和 人 分 部 路 由 对 应 的 内 部 网 络 地 址 段 *“172. 16. 1.0/24”,“ 类 型 ”选中 “网 关 ” 单 选 按钮 ,在 “网 
关 ” 中 输入 路 由 器 的 IP 地 址 “110. 69. 70. 1” ,如 图 3-173 所 示 。 
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san 


号 wan 站 目的 地 址 / 掩 码 网 关 | 出 


图 3-172 静态 路 由 列表 


添加 静态 路 由 四 
目的 地 址 / 掩 码 | 172.16.1.0/24 
类 型 ”加 网 关 〇 凡 0 
网 关 | 110.69.70.1| 
权重 |1 (1-255) 
确定 取消 


图 3-173 添加 静态 路 由 


(15) 单 击 “ 确 定 ” 按 钮 ,返回 “静态 路 由 ”列表 界面 ,显示 添加 的 静态 路 由 信息 ,如 
图 3-174 所 示 。 


表态 路 由 

[+wm |] Ow ]LCam | 

站 目的 地 址 / 扒 码 同 关 
172.16.1.0/24 110.69.70.1 


图 3-174 静态 路 由 信息 表 


(16) 完成 静态 路 由 信息 配置 后 ,继续 进行 地 址 对 象 配置 。 单 击 上 方 导航 栏 中 的 “对 
象 配置 "一 “地 址 ”>“ 地 址 ”, 显 示 当 前 的 地 址 对 象 列表 ,如 图 3-175 所 示 。 

(17) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 地 址 ”界面 中 ,在 “名 称 ” 中 输入 “总 部 内 网 地 
址 段 ”,“IP 地 址 ?输入 ge3 口 对 应 的 IP 地 址 段 *“172. 16. 2.0/24”, 如 图 3-176 所 示 。 

(18) 单 击 “ 确 定 ” 按 钮 ,返回 “地 址 ”列表 中 ,可 查看 添加 的 内 网 地 址 段 对 象 ,如 
图 3-177 所 示 。 
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地 址 
it [+ ] [Ow][CAa] 
地 址 组 | 名 称 地 址 
0.0.0.0/0, :3 
服务 器 地 址 Wi ee 
VPN 地 址 池 
图 3-175 地址 对 象 列表 
添加 地 址 四 
名 称 | 总 部 内 网 地 址 段 0-6a 字 各 
搞 述 Fe | (0-127 字 知 ) 


1p 地 址 国 “| 172162.0124 


图 3-176 添加 总 部 内 网 地 址 段 对 象 


图 3-177 地 址 对 象 列表 ( 已 添加 ) 


(19) 继续 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 地 址 ”界面 中 ,在 “名 称 ” 中 输入 “分 部 内 
网 地 址 段 ”",“IP 地 址 ?输入 分 部 内 网 地 址 段 “172. 16. 1.0/24”, 如 图 3-178 所 示 。 


添加 地 址 加 


si os 


接 述 | o-z7 字 i 
ip 地 址 国 “| 172161.0124 


Y 高 级 


图 3-178 ”添加 分 部 内 网 地 址 段 
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(20) 单 击 “确定 按钮, 返回“ 地址 ?列表 界面 ,显示 当前 添加 的 两 条 地 址 对 象 , 如 
图 3-179 所 示 。 


加 

Fm | (Dw |[Cw ET 
sm we me am mm 

same ' / 
Sr " ’ 


图 3-179 ”地 址 对 象 列表 (已 添加 两 条 ) 


(21) 配置 分 部 路 由 器 的 IPSec 信息 ,以 便 防火 墙 进行 对 等 配置 。 登 录 实 验 平 台 对 应 
实验 拓扑 中 的 路 由 器 ,用 户 名 为 admin, 密 码 为 空 , 如 图 3-180 所 示 。 


NA 110.69.70.1/24 ge2: 110.69.70.2/24 | 
2 yh St | \ 


ge3: 172.16.2.1 


“eb 
PC1: 172.16.2.100 
GW: 172.16.2.1 


3 


Web 服 务 器 : 172.16.1.100/24 
GW: 172.16.1.1 


10.0.0.44/24 
P 地 址 为 准 ) 


图 3-180 登录 路 由 器 


(22) 在 路 由 器 命令 行 界 面 中 输入 命令 : ip ipsec, 进 入 路 由 器 IPSec 配置 项 , 如 
图 3-181 所 示 。 


MMM MMM KKK TPTTPTTTTT KKK 

MMMM MMMM KKK TTTTTPTTTES KKK 

MMM MMMM MMM III KKK KKk RRRRRR 000000 TTT III KKK KKK 
MMM MM MMM III KKKKK RRR RRR 000 000 7 III KKKKK 
MMM MMM III KK KKK RRRRRR 000 000 TI III KKK KKK 
MMM MMM III KKK KKk RRR RRR 000000 TIT III KKK KKK 


MikroTik Router0S 5.28 (c) 1999-2012 http://wuu ,mikrotik .com~ 


admin@MikroTik] 
admin@MikroTik] /i 


图 3-181 进入 路 由 器 IPSec 配置 项 


(23) 输入 命令 : peer, 开 始 IKE 第 一 阶段 的 信息 配置 ,如 图 3-182 所 示 。 
(24) 输入 命令 : print, 显 示 当 前 路 由 器 的 peer 配置 清单 ,如 图 3-183 所 示 。 
(25) 表明 当前 并 没有 配置 peer 信息 ,需要 进行 相关 配置 。 输 入 命令 : add address 一 
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110. 69. 70. 2/24 auth-method 王 pre-shared-key secret 一 123456 ,并 按 Enter 键 ,将 防火 墙 
ge2 接口 IP 地 址 加 入 分 部 路 由 器 peer 配置 信息 中 ,如 图 3-184 所 示 。 


n@Mik ip i 


n@Mik k] “ip ip 
[admin@HikroTik] “ip ip: 


图 3-182 进入 IPSec 第 一 阶段 配置 


[adnin@MikroTik] > ip ipser 
[admin@MikroTik] /ip ipsec> peer 
[admineMikroTik] “ip ipsec peer> 
Flags: X - disabled 

[admin@MikroTik] /ip ipsec peer> 


图 3-183 ”查看 当前 路 由 器 peer 配置 清单 


[adnin@MikroTik] > ip ipser 
[admin@MikroTik] “ip ipsec> peer 
[admin@MikroTik] “ip ipsec peer> 
sec peer> address=118.69.78.2/24 auth-nethod=pre-shar 
sd-key secret=123456 
CadmineMikroTik] “ip ipsec peer> 


图 3-184 添加 路 由 器 peer 信息 


(26) 再 次 输入 命令 : print, 显 示 peer 配置 的 详细 信息 ,如 图 3-185 所 示 。 


[admin@MikroTik] “ip ipsec peer> 

Flags: X - disabled 

0 addre 118.69.78. port=598 auth-method=pre-shared-key secret=" 
generate-policy=no exchange-mode=main send-initial-contact=yes 
nat-traversal=no my-id-user-fqdn="" proposal-check=obey 
hash-algorithm=md5 enc-algorithn=3des dh-group=nmodp1924 lifetine 
lifebytes=0 dpd-interval=2m dpd-maximum-failures=5 

[admin@MikroTik] “ip ipsec pe 


图 3-185 路 由 器 peer 配置 信息 


(27) 由 图 3-185 可 知 ,路 由 器 peer 配置 中 ,验证 算法 使 用 md5 ,加密 算 法 使 用 3des， 
DH 小 组 为 modp1024( 即 Group2) ,认证 类 型 设置 为 预 共享 密 钥 , 密 钥 为 123456, 记 录 相 
关内 容 用 于 后 续 配 置 防火 墙 时 使 用 

(28) 继续 查看 路 由 器 IPSec 提议 ,路 由 器 中 输入 命令 : /ip ipsec proposal print， 
查看 路 由 器 的 IPSec 提议 配置 ,如 图 3-186 所 示 。 


[admin@MikroTik] “ip ipsec peer> /ip ipsec proposal 
Flags: X - disabled, * - default 
0 * nane="default"” auth-algorithns=shal enc-algorithms=3des 1 


pfs-group=modp1024 
[admin@MikroTik] /ip ipser 


图 3-186 查看 路 由 器 IPSec 提议 


(29) 由 图 3-186 可 知 ,路 由 器 IPSec 提议 中 ,验证 算法 为 shal ,加密 算法 为 3des,PFS 
小 组 为 modp1024( 即 Group2) ,记录 相关 参数 ,用 于 防火 墙 配置 时 使 用 。 
(30) 继续 配置 路 由 器 的 IPSec 隧道 信息 。 在 路 由 器 命令 行 中 输入 命令 : /ip ipsec 
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policy print, 显示 路 由 器 IPSec 隧道 配置 列表 ,如 图 3-187 所 示 。 


[admin@MikroTik] > ip ipsec peer 
[admin@MikroTik] “ip ipsec peer> /ip ipsec policy 


9 isabled, D - dynamic, 1 - inactive 
[admin@MikroTik] “ip ipsec peer> _ 


图 3-187 路 由 器 当前 IPSec 隧道 配置 信息 


(31) 由 图 3-187 可 知 路 由 器 当前 未 添加 IPSec 隧道 。 输 入 命令 : /ip ipsec policy, 进 
入 该 配置 子 项 中 ,继续 输入 命令 : add src-address 一 172. 16. 1. 0/24 dstraddress 一 172. 16. 
2. 0/24 sa-src-address= 110. 69. 70. 1 sa-dst-address 二 110. 69. 70. 2 tunnel 二 yes, 并 按 


Enter 键 ,如 图 3-188 所 示 。 


ip ipsec peer> y ipsec policy 
sabled, D - dynanic, inactive 
[admin@MikroTik] “ip ipsec peer p ipsec policy 
[admin@MikroTik] /ip ipsec policy> 
16.2.0/2 TT 118.69.78.1 
LaanineMikroT y ipsec policy 


图 3-188 配置 路 由 器 IPSec 隧道 
(32) 输入 命令 : print, 查 看 相关 配置 是 否 添 加 成 功 ,如 图 3-189 所 示 


[admin@MikroTik) > ip ipsec peer 
[admin@MikroTik] “ip ipsec peer> 
Flags: X - disabled, D - dynanic, 

[admin@MikroTik] “ip ipsec peer 
[admin@M Tik] “ip ipsec policy 
08/2 a-src-add 119.69.7| 
min@MikroTik] “ip ipsec policy 


图 3-189 路 由 器 添加 IPSec 隧道 信息 


3) 添加 IPSec 隧道 信息 后 ,需要 指定 路 由 器 连接 内 网 连接 防火 墙 内 网 的 路 由 信 
eae 令 行 界面 中 输入 命 ip route, 进 入 路 由 器 路 由 设置 命令 ,如 图 3-190 
所 示 。 

[adnin@MikroTik] “ip ipsec poticu》 


Flags: X disabled, D - dynanic - inactive 
a rc ldre 172.16.1.9~ rc-port=any dst-addre 172 .16 


dst-port=any protocol=all action=encrypt level=require 
ipsec-protocols=esp tunnel=yes sa-src-addr 119.69.79.1 
a-dst-address=119.69.79.2 proposal=default priority=@ 
[admin@HikroTik] “ip ipsec policy> “ip route 


图 3-190 进入 路 由 器 路 由 设置 界面 


(34) 输入 命令 : print, 显 示 当 前 的 路 由 信息 .如 图 3-191 所 示 
5) 输入 命令 : add dstraddress 王 172. 16. 2. 0/24 gateway 一 110. 69. 70. 2 ,并 按 
Enter 设置 进入 防火 墙 内 网 的 路 由 信息 ,如 图 3-192 所 示 。 
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Flags: X 
IC - connect, 
B - blackho 


# DST-ADDRESS 
@ ADC 116.69.70.08 
1 hDC 17?2.16.1.8 


[admine 
Flags: X 


C connect, atic 


B blackhole, U 
莫 DST-hDDRESS 
a@ ADC 
1 hDC 17: 


[admine@ k] 


(36) 再 次 输入 命令 : 


[admin@Mikr ip 

lm in@M in ip 

x disabled, 

connect, S t 

blackhole, U u 

DST-ADDRESS 

9 ADC 

1 ADC 172.16.1.8/2 

2 SS 172.16.2.8 
[admin@Mik 


(37) 返回 防火 墙 的 Web UI 界面 ， 
PSec IKE 网 关 ”, 显 示 防 火 所 


c，r - rip，b 


119 .69 .78 .8/2 
16.1.0/24 
[adnin@ ] “ip 


active, D 
r -rip, b - bgp, o - ospf， 
achable, P 


110.69.70.0/2 


验 指导 


active, D dunamic， 

hable, P hibit 
PREF-SRC GATEWAY 
118 .69.78 eth 
17?2.16.1.1 ether1l 


路 由 信息 


图 3-191 


actiue，D 
r - rip，b - bgp，o - ospf 
unreachable, P 


dynanmic, 


prohibit 
PREF-SRC GATEWAY 
119.69.79.1 her 
172.16.1.1 her1 


172.16 .2 


图 3-192 息 


添加 路 由 信息 


dynamic, 


prohibit 
PREF-SRC GATEWAY 
118.69.78.1 ether 
rs ph | ether1 


o - ospf， 


mm 一 mme, 
DISTANCE 


a 
a 


118.69.70.2 


print, 可 见 添加 的 路 由 信息 ,如 图 3-193 所 示 


y=118 .69.70.2 


DISTANCE 


119.69.79.2 


图 3-193 路 由 信息 表 


di 4 合 


fi 上 方 导 航 栏 中 的 “网 络 配置 ”一 “VPN7? 一 
当当 前 的 IKE 网 关 信息 ,如 图 3-194 所 示 。 
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回 插 IKE 网 关 IKE 提 议 所 号 用 户 组 
图 安全 域 [二 [Ew [CW] 
va 接口 协商 模式 
沽 折 
多 ons 
2 Anp 
加 MAc 
IPsec 手工 胜 道 
图 3-194 ”IKE 网 关 列表 
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(38) 首先 需要 配置 IKE 提议 , 单 击 “IKE 提议 ”标签 栏 , 显 示 防 火 墙 中 预 设 的 IKE 提 
议 列表 ,如 图 3-195 所 示 。 


[tw Com (Cw 
区 


i 
! 


| 


ll 
人 


记 

多 
ud | 

日 


图 3-195 ”防火墙 IKE 提议 列表 


(39) 在 其 中 可 找到 预定 义 列表 中 包含 路 由 器 的 协议 组 合 psk-3des-md5-g2, 见 
图 3-195 中 的 方 框 。 单 击 "IKE 网 关 ” 标 签 页 , 单 击 其 中 的 “十 添加 ”按钮 ,在 弹出 的 “添加 
IKE 网 关 ” 界 面 中 ,在 “名 称 ” 中 输入 “分 部 路 由 器 ”,“ 接 口 * 设 置 为 防火 墙 对 外 接口 ge2， 
“本 地 地 址 ”设置 为 auto, “协商 模 式 ” 选 中 “ 主 模式 ” 单 选 按钮 ,在 “网 络 配 置 ” 栏 中 , “地址 
模式 ”选中 “静态 地 址 ” 单 选 按 钮 “对 端 地 址 ”输入 分 部 路 由 器 的 IP 地 址 *110. 69. 70. 1”， 
IKE 提议 (P1 提议 )” 设 置 为 IKE 提议 中 的 “psk-3des-md5-g2”, 在 增加 的 “ 预 共 享 密 钥 ” 中 
输入 123456( 与 路 由 器 中 设置 必须 相同 ) ,如 图 3-196 所 示 。 


添加 IKE 网 关 x 
名 称 | 分 部 路 由 器 * (01-63 字 舌 
所 DD [ge2 vl 
本 六 地 址 | auto 
协商 模式 。 @ 主 模式 O smut Os 
网 络 配置 
地 址 模式 。 图 更 太 地 址 口 动心 地 址 〇 所 SS 用 户 组 
对 庄 地 址 | 110.69.70.1 
本 请 ID 类 型 。 | IP 地 址 vr 
本 镁 ID 值 (1-255 字 夭 ) 
对 请 ID 类 型 。 | IP 地 址 bd 
对 读 I1D 值 国 | 110.69.70.1 (1-255 闻 夭 ) 
KE 提议 (P1 提 议 ) ”| psk-3des-md5-g2 ~ 
预 共 享 密 钥 。 | 123456 * (6-31 字 初 
~ 言 朋 - 


3-196 配置 IKE 网 关 
(40) 确认 相关 信息 无 误 后 . 单 击 “ 确 定 ” 按 钮 .返回 "IKE 网 关 ” 列 表 界 面 ,可 见 添加 的 
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IKE 网 关 信 息 ,如 图 3-197 所 示 。 


[| 


[mw a 
Dm 加 max au ma mm om mr 
omen eo 2 em a 加 ， 2 


图 3-197 ”IKE 网 关 列 表 


(41) 完成 IKE 网 关 添 加 后 , 即 完成 IPSec 隧道 建立 的 第 一 阶段 配置 ,继续 添加 IPSec 
隧道 第 二 阶段 。 单 击 “ 网 络 配置 "~“*VPN”-~*IPSec 隧道 ”, 显 示 防 火 墙 中 当前 的 IPSec 
隧道 列表 ,如 图 3-198 所 示 。 


1PSsec 隧 道 IPsec 提议 


中 ws 


名 vuAN Das IPsec 提议 IKE 网 关 


贺 MAc 

:和 
IPsec 手工 衣 攻 
IPSec IKE 网 关 


IPSec 陆 道 


图 3-198 IPSec 隧道 信息 


(42) 单 击 “IPSec 提议 ”标签 ,显示 防火 墙 预定 义 的 协议 组 合 ,如 图 3-199 所 示 。 


Err 
[FE] Ew [Cw] Ee| 
ou en omen | 
可 怕 aa 7 
加 mw Ey / 
加 mu ia 7 
加 mu aa I 
= own wn mm am / 
加 au mu Wms me ’ 
om ws wm " se 7 
可 oe ws mu wm aa 人 
加 ae wes mu aa 0 
四 ee ws 四 aa 了 
mr mu ws ou aa 3 
而 an 的 am 7 
网 mu aa / 
四 Ee mu am RE 
加 mes m 2 / 
可 we Em Er | 
加 i Er Em se 7 
可 mm ws we ia We 
加 oe ws ou aa o 7 
De me - so ws wu en 2 


图 3-199 IPSec 提议 列表 
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(43) 防火 墙 预定 义 列表 中 包含 路 由 器 IPSec 第 二 阶段 的 协议 组 合 esp-3des-shal- 

g2, 见 图 3-199 中 的 方 框 。 单 击 “IPSec 隧道 "标签 , 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 

IPSec 隧道 ?界面 中 ,在 “名 称 " 中 输入 * 分 部 路 由 器 ", “IPSec(p2) 提 议 ” 设 置 为 “esp-3des- 

shal-g2”,“IKE 网 关 ” 设 置 为 “分 部 路 由 器 ”, 勾 选 “ 启 用 ” 复 选 框 ,如 图 3-200 所 示 。 


图 3-200 配置 IPSec 隧道 信息 


(44) 单 击 “ 高 级 ”链接 ,在 展开 的 高 级 设置 中 ,“ID 模式 ?选中 “手动 " 单 选 按钮 ,“ 源 地 
址 ?输入 总 部 内 网 主机 地 址 段 “172. 16. 2. 0”,“ 源 子 网 掩 码 ” 输 入 “255. 255. 255.0”,“ 目 的 
地 址 ”输入 分 部 内 网 主机 地 址 段 *172. 16. 1.0”,“ 目 的 子 网 掩 码 ” 输 入 “255. 255. 255. 0”, 勾 
选 “ 自 动 连接 ” 复 选 框 ,其 他 保持 默认 设置 ,如 图 3-201 所 示 。 


Oe 动 
172.16.2.0 


源 子 网 挤 码 
目的 地 址 
目的 子 网 掩 码 
防 重 放 


255.255.255.0 


172.16.1.0 


255.255.255.0 


关闭 


自动 连接 ”四 


DHCP overlpsec 口 


图 3-201 配置 IPSec 隧道 高 级 参数 


(45) 在 IPSec 隧道 配置 中 ,“ID 模式 "可 以 选择 “自动 模式 ,为 使 读者 理解 IPSec 过 
程 , 本 实验 设置 为 手动 模式 ,其 中 , 源 地 址 .目的 地 址 的 配置 与 路 由 器 中 policy 配置 过 程 相 
呼应 。 
(46) 确认 配置 信息 无 误 后 , 单 击 “ 确 定 ” 按 钮 ,返回 “IPSec 隧道 列表 界面 ,可 见 添加 


的 IPSec 隧道 信息 ,如 图 3-202 所 示 。 
(47) IPSec 隧道 配置 完成 后 ,配置 配合 IPSec 隧道 的 安全 策略 。 单 击 上 方 导航 栏 中 


的 “策略 配置 ”, 显 示 当 前 的 安全 策略 列表 ,如 图 3-203 所 示 。 
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psec Pseams 
+ ] [Dm [CW Pe a 
Dem ee mm em am a mms en 
OD sm ds Snes 沿 = ~ ~ 


图 3-202 IPSec 隧道 列表 


策略 配置 对 象 配 置 网 络 配 置 


[= samm | Som Res 


国 Nr [+am |][Gss [Ow |][ sms |][ 4 estnm ][ Ca ] 
国 WE < | 有 品 二 要 人 二 目的 安全 二 ti/ 地 区 | 目的 地 址 /地 区 
EL 


IP-MAC 解 定 
回 oes 
[EEECD 


凤 由 制 


加 去 全 防护 


图 3-203 安全 策略 列表 


(48) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 安全 策略 "界面 中 ,在 “名 称 ” 中 输入 “入 隧 
道 ”, 勾 选 “ 启 用 ” 复 选 框 ,“ 动 作 ” 选 中 “安全 连接 (隧道 )" 单 选 按 钮 “隧道 (VPN)” 设 置 为 
“分 部 路 由 器 ”,“ 源 安全 域 “ 目 的 安全 域 ” 均 设置 为 any,“ 源 地 址 /地 区 ”设置 为 总 部 内 网 
地 址 段 ”",“ 目 的 地 址 /地 区 ”设置 为 “分 部 内 网 地 址 段 ”, 如 图 3-204 所 示 。 


添加 安全 策略 加 
各 称 | 入 民 道 ] 0-63 宁 各 
氛 述 (0-127 字 稳 ) 
启用 四 
动 F”Q 〇 nt 许 〇 拒绝 回去 全 连接 (能 道 ) 
局 首 (VPN) | 分 部 路 由 器 ~| 
源 安 全 域 | any ~| 
目的 安全 域 | any bs 


应 用 | 请 选择 应 用 或 应 用 组 
来 自 隧道 。 | 请 远 择 感 道 4 
时 间 。 | 请 选择 时 间 ~ 
sn ans [ee 下 


图 3-204 “添加 安全 策略 "界面 
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(49) 确认 信息 无 误 后 , 单 击 “ 确 定 ” 按 钮 ,返回 “安全 策略 ”列表 ,可 见 添加 的 “和 隧道” 
安全 策略 ,如 图 3-205 所 示 。 


pr 
[+wm [Su | [Do ][ Snr |]( & wern |[ Ces | A a 
取现 ee em meee Go se a ER 本 ern sm 
1 Am 国 mm "9 ~ Ey 


图 3-205 添加 入 隧道 安全 策略 


(50) 继续 添加 来 自 隧道 数据 的 安全 策略 。 再 次 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 
安全 策略 ”界面 中 ,在 “名 称 ” 中 输入 “出 隧道 ”, 勾 选 * 启 用 ” 复 选 框 ,“ 动 作 ” 选 中 “允许 ” 单 选 
按钮 ,“ 源 安全 域 “ 目 的 安全 域 均 设置 为 any,“ 源 地 址 /地 区 ”设置 为 “分 部 内 网 地 址 段 ”， 
“目的 地 址 /地 区 ”设置 为 “总 部 内 网 地 址 段 ”", “来 自 隧道 "设置 为 “分 部 路 由 器 ”, 如 
图 3-206 所 示 。 


添加 安全 第 略 x 
名 称 | 出 喇 道 * (1-63 字 全) 
接 述 (0-127 字 稳 
启用 加 
动 F @ 人 t 许 Ox 〇 安全 连接 阴道 ) 
源 安全 域 【amy > 
目的 安全 域 “| any 


VIAN “| 请 给 和 VLAN 
( 取 值 范围 0-4094 , 格式 : 1,3,5-10,12) 本 


Cw Dw | 


图 3-206 配置 来 自 隧道 的 安全 策略 


(51) 确认 信息 无 误 后 , 单 击 “ 确 定 ” 按 钮 ,返回 “安全 策略 ”列表 ,可 见 添加 的 两 条 安全 
策略 ,如 图 3-207 所 示 。 


Sa | Neem 
[+m [Gr |] [Om ][ Im |] (ae | [Ce | ET Ey 
上 es Bret /WE East/a ee a a ons a en lan 
Dm ~ ~ EE" ~ - ese 0 加 
Dm ~ ~ a ~ = 好 器 


3-207 ”安全 策略 列表 


(52) 至 此 ,完成 IPSec 隧道 配置 。 
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【实验 预期 】 
(1) 防火 墙 与 分 部 路 由 器 建立 IPSec VPN 连接 。 
(2) 总 部 内 网 用 户 可 访问 分 部 服务 器 网 站 。 


【实验 结果 】 

1) 防火 墙 与 分 部 路 由 器 建立 IPSec VPN 隧道 连接 

(1) 在 防火 墙 Web UI 界面 中 , 单 击 “ 数 据 中 心 ”>“ 监 控 ” 一 “隧道 监控 ”, 可 见 防火 墙 
已 建立 IPSec 隧道 ,如 图 3-208 所 示 。 


本 编 
3846d9f8eacOc2f4/be6be... 110.69.70.2 


图 3-208 ”隧道 监控 


(2) 由 图 3-208 可 见 隧道 相关 的 Cookie 值 ,本 端 \ 对 端的 IP 地 址 ,采用 的 算法 信 
息 , 以 及 生存 周期 .方向 ,状态 信息 ,该 条 目 信息 显示 内 容 为 IPSec 第 一 阶段 的 相关 信 
息 。 单 击 该 隧道 条 目 , 在 下 方 会 显示 该 IPSec 隧道 第 二 阶段 的 相关 信息 ,如 图 3-209 
所 示 。 


mm | 

Om [cm el | RoE | | Winn "| 
NE Coowle EE Ee Ee) 
ET Ny mn ear Pr es ET 
ol mas 
Lam ][Ca ] 
Dm nem im aan a me z [中 

TDoheayoenaa ao 一 pe hershe 1 mp am am ia ad 
[Cr 


图 3-209 IPSec 隧道 详细 信息 


(3) 综 上 所 述 ,防火 墙 已 与 分 部 路 由 器 建立 了 IPSec VPN 隧道 ,满足 预期 要 求 。 

2) 总 部 内 网 用 户 可 访问 分 部 服务 器 网 站 

(1) 登录 实验 平台 对 应 实验 拓扑 右 侧 的 Windows XP 虚拟 机 ,如 图 3-210 所 示 。 

(2) 在 虚拟 机 桌面 双击 火狐 浏览 器 快捷 图 标 .运行 火狐 浏览 器 ,如 图 3-211 所 示 。 

(3) 在 火狐 浏览 器 的 地 址 栏 中 .输入 分 部 内 网 主机 IP 地 址 “172. 16. 1. 100”, 浏 览 器 
可 正常 浏览 网 站 页 面 ,如 图 3-212 所 示 。 

(4) 综 上 所 述 , 通 过 防火 墙 和 分 部 路 由 器 建立 的 IPSec VPN 隧道 连接 ,总 部 内 网 主 
机 可 正常 访问 分 部 内 网 服务 器 ,满足 预期 要 求 。 
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ge2: 110.69.70.2/24 


S 
i 


PC1: 172.16.2.100 
W: 172.16.2.1 


Web 服 务 器 : 172.16.1.100/24 管理 机 : 10.0.0.44/24 
(以 实际 下 地 址 为 准 ) 


GW: 172.16.1.1 
图 3-210 登录 右 侧 虚拟 机 


文件 EE) 。 饥 循 区) ”一 看 


辆 骑士 PE 高 辣 人 才 系统 tmw… 
< 


欢迎 来 到 畸 士 人 才 系 统 ! 。[ 苔 录 ] 。 [免费 注册 ] 


对 名 TN5 


求职 信息 ”职工 具 箱 。 ”新闻 资讯 。 会员 


© jaw ] 会 | 


© | 172.16.1.10 


保存 到 秦 面 | 网 站 首页 | 帮助 


当前 位 于 :网 站 首页 


| 搜索 职位 
站 纺 司 = 忆 近 更 新 吕 位 。 写字 恤 直 索 趴 位 2 
热门 关键 宇 : 销售 代表 销售 经 理 会 计 销售 工程 师 销售 助理 和 这 路 搜索 职位 。 控 标 怎 搜索 办 位 
| 最 新 下 载 简历 谁 下 载 了 我 的 简历 ? 马上 羡 孟 查看” 本 周 热点 职位 | 


图 3-212 浏览 器 正常 浏览 页 面 
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【实验 思考 】 

(1) 除 IPSec 配置 过 程 中 ,自动 连接 与 触发 连接 工作 模式 有 什么 区 别 ? 

(2) IPSec 两 个 阶段 都 需要 配置 协议 ,本 实验 中 的 分 部 路 由 器 和 防火 墙 是 否 可 采用 不 
同 的 协议 完成 各 自 阶段 的 协议 匹配 ? 


3.4.2 防火 墙 QoS 实验 


【实验 目的 】 
针对 企业 不 同 部 门 的 带宽 需求 ,对 内 网 用 户 的 下 行 流量 进行 流量 控制 。 


【知识 点 】 
QoS、NAT., 安 全域 ,安全 策略 。 


【场景 描述 】 

A 公司 拥有 50MB 的 出 口 带宽 ,公司 为 了 提高 网 络 资源 利用 效率 , 特 安排 安全 运 维 芽 
程 师 对 内 网 用 户 的 下 行 流量 进行 流量 控制 , 设 定 规 则 为 : 财务 部 门 用 户 最 大 带宽 及 保证 
带宽 为 10MB; 其 他 部 门 用 户 最 大 带宽 及 保证 带宽 为 40MB, 并 且 每 个 用 户 的 带宽 不 能 超 
过 800KB。 安 全 运 维 工程 师 需 要 利用 防火 墙 的 QoS 设置 ,实现 基于 用 户 的 带宽 管控 ,请 
思考 应 如 何 对 防火 墙 的 QoS 进行 配置 。 


【实验 原理 】 

QoS 是 指 了 网络 的 一 种 能 力 , 即 在 跨越 多 种 底层 网 络 技术 (MP、FR、ATM Ether- 
net、,SDH、MPLS 等 ) 的 IP 网络 上 ,满足 丢 包 率 、 延 迟 、 拌 动 和 带宽 等 方面 的 要 求 ,为 特 
定 的 业务 提供 所 需要 的 服务 。 更 简单 地 说 ,QoS 针对 各 种 不 同 需求 ,提供 不 同 服务 质 
量 的 网 络 服务 。 防 火 墙 通过 定制 化 的 带宽 管理 ,满足 特定 部 门 的 使 用 需求 , 朴 解 普通 
用 户 使 用 带宽 ,通过 最 大 带宽 的 限制 ,利用 规则 规范 用 户 的 使 用 ,提高 企业 网 络 资源 利 
用 效率 。 

【实验 设备 】 

。 安全 设备 : 防火 墙 设备 1 台 。 

。 网 络 设备 : 2 层 交 换 机 2 台 。 

。 主机 终端 : Windows Server 2003 SP2 主机 1 台 , Windows XP 主机 2 台 , Windows 7 

主机 1 台 。 


【实验 拓扑 】 
实验 拓扑 如 图 3-213 所 示 。 


【实验 思路 】 

(1) 配置 财务 部 和 其 他 部 门 的 内 网 地 址 对 象 。 
(2) 配置 QoS 线路 。 

(3) 添加 虚拟 QoS ,选择 需要 限制 的 数据 方向 。 
(4) 添加 调度 类 。 
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PC1: 172.16.2.100/24 


| : ge2: 124.16.8.1/24 


FTP 服 务 器 : 124.16.8.100/24 


其 他 部 门 


PC2: 172.16.3.100/24 


管理 机 : 10.0.0.44/24 
(以 实际 人 P 地 址 为 准 ) 


图 3-213 防火墙 QoS 实验 拓扑 


(5) 为 财务 部 门 用 户 添加 QoS 规则 。 
(6) 为 其 他 部 门 用 户 添加 QoS 规则 。 
(7) 财务 部 与 其 他 部 门下 载 文档 时 ,应 按照 指定 QoS 规则 实现 带宽 控制 。 


【实验 要 点 】 
下 一 代 防 火 墙 管 理 员 在 “策略 配置 ”>QoS 中 ,可 以 对 地 址 对 象 进行 带宽 策略 定义 。 


【实验 步 又】 

(1) 一 (3) 登录 并 管理 防火 墙 ,检查 防火 墙 的 工作 状态 。 

(4) 单 击 面板 上 方 导航 栏 中 的 “网 络 配 置 ”, 单 击 ge2 右 侧 "操作 ”中 的 笔 形 标志 ,编辑 
ge2 接口 设置 。 

(5) 在 本 实验 中 ,ge2 口 用 于 模拟 连接 Internet 的 接口 ,因此 将 ge2 口 IP 设置 为 
“124. 16. 8. 1”, 掩 码 为 “255. 255. 255. 0”, 安 全 域 为 untrust, 后 续 步 又 按照 此 要 求 进行 调 
整 。 在 “编辑 物理 接口 ?界面 中 ,工作 模式 ?选中 * 路 由 模式 ? 单 选 按钮 , 单 击 本 地 地 址 列表 
中 的 IPv4 标签 列表 中 的 “十 添加 按钮。 如果 已 有 IP 地 址 设置 , 则 单 击 IP 地 址 右 侧 “ 操 
作 ” 的 笔 形 标志 , 视 具体 情况 决定 。 

(6) 在 “添加 IPv4 本 地 地 址 ”界面 中 ,输入 本 实验 设 定 的 IP 地 址 ”124. 16. 8. 1”, 该 地 
址 用 于 与 实验 虚拟 机 通信 使 用 ,输入 子 网 掩 码 为 *255. 255. 255. 0”, 类 型 默认 为 float, 如 
图 3-214 所 示 。 

(7) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 ,查看 参数 是 否 设 置 完毕 ,再 单 击 “ 确 
定 ” 按 钮 ,关闭 “编辑 物理 接口 "界面 。 

(8) 本 实验 中 ,ge3 接口 和 ge4 接口 模拟 连接 公司 内 部 网 络 中 的 两 个 子 网 ,ge3 接口 
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分 配 其 IP 地 址 段 为 “172. 16. 2.0” 网 段 ,接口 对 应 IP 为 “172. 16. 2. 1”; ge4 接口 分 配 其 IP 
地 址 段 为 “172. 16. 3.0”, 接 口 对 应 IP 为 “172. 16. 3. 1”, 后 续 步骤 以 此 描述 为 准 。 


添加 IPv4 本 地 地 址 
本 地 地 址 。 | 124.16.8.1 
子 网 掩 码 | 255.255.255.0 
类 @ | float 


[wa ][ ms 


图 3-214 添加 IPv4 本 地 地 址 


(9) 回 到 “接口 "界面 中 , 单 击 ge3 接口 右 侧 的 笔 形 标志 ,设置 ge3 接口 IP 地 址 为 


“92. 6,2. 1”。 
(10) 由 于 ge3 接口 连接 的 是 公司 内 网 ,因此 设置 其 安全 域 为 trust, 在 “本 地 地 址 列 


表 ” 中 IPv4 编辑 方法 与 ge2 编辑 方法 相同 ,输入 “本 地 地 址 ”为 “172. 16. 2. 1”,“ 子 网 掩 码 ” 
为 “255. 255. 255. 0”, 如 图 3-215 所 示 。 


| 添 MIPv4 本 地 地 址 
本 地 地 址 [172.162.1 
子 网 着 码 。 | 255.255.255.0 
并 型 | float 


[wa ][ ww | 


图 3-215 编辑 ge3 接口 IP 地 址 参数 


(11) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 ”界面 ,确认 接口 相关 信息 后 ,再 单 击 “ 确 
定 ” 按 钮 ,返回 “接口 "界面 。 
(12) 选择 ge4 右 侧 * 操 作 ” 栏 中 的 笔 形 标志 ,编辑 ge4 口 的 接口 信息 。ge4 口 与 ge3 


口 均 为 连接 公司 内 网 的 接口 ,因此 ge4 的 安全 域 为 trust。 
(13) 单 击 “ 本 地 地 址 列表 ”中 IPv4 中 右 侧 的 笔 形 标志 ,输入 ge4 接口 的 “本 地 地 址 ” 


为 “172. 16. 3. 1”,“ 子 网 掩 码 ” 为 “255. 255. 255. 0”, 如 图 3-216 所 示 。 


加 | 


添加 IPv4 本 地 地 址 
本 地 地 址 | 172.16.3.1 

子 网 挤 码 ”| 255.255.255.0 | 

类 型 ”| float 


确定 “| 几 。 取 消 


图 3-216 ”编辑 ge4 接口 IP 地 址 参数 


(14) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 .确定 ge4 接口 的 相关 信息 后 , 单 击 
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“确定 ”按钮 ,返回 “接口 "界面 ,查看 ge2 .ge3 和 ge4 接口 信息 是 否 调整 完毕 ,如 图 3-217 
所 示 。 


124.16.8.1/2552552550 
me Ws fe80=216:31fffee1-380d/64 8 et 
172.16.2.1/2552552550 
ge3 路 由 模式 fe80-216:31fffee1:380e/64 9 rn 
a PS 172.16.3.1/255255.255.0 了 


3-217 查看 ge2 ge3 和 ge4 接口 信息 


(15) 设置 好 接口 信息 后 , 单 击 " 对 象 配置 ">“ 地 址 ”>“ 地 址 ”, 单 击 " 添 加 ”按钮 ,为 财 
务 部 和 其 他 用 户 添 加 地 址 对 象 。 在 本 实验 中 设置 “172. 16. 2.0” 网 段 为 财务 部 门 使 用 的 网 
段 , 因 此 名 称 设置 为 “财务 部 ”, IP 地 址 段 和 子 网 掩 码 设置 为 “172. 16. 2. 0/24”, 如 
图 3-218 所 示 。 


iP 地址 @ “| 172162.0124 


图 3-218 ”添加 财务 部 地 址 对 象 


(16) 单 击 “ 确 定 ” 按 钮 ,返回 地址 ”界面 ,再 次 单 击 “ 添 加 ”按钮 ,设置 “其 他 部 门 ”的 地 
址 信息 为 “172. 16. 3.0/24”, 如 图 3-219 所 示 。 


编辑 地 址 [] 


名 称 | 其 他 部 门 * (1-63 字符 ) 
搞 述 (0-127 字 初 
IP 地 址 @ ”172.16.3.0/24 


3-219 ”添加 其 他 部 门 地 址 对 象 


(17) 设置 好 ge2 .ge3 .ge4 接口 信息 以 及 “对 象 配置 "信息 后 ,需要 将 ge2 .ge3 和 ge4 
接口 按照 外 网 、 内 网 的 角色 进行 分 隔 并 配置 安全 策略 , 单 击 “ 策 略 配置 ”~ 安全 策略 ”, 如 
图 3-220 所 示 。 

(18) 单 击 “ 添 加 ”按钮 ,在 弹出 的 “添加 安全 策略 ”界面 中 ,在 “名 称 ” 中 输入 “上 网 ”， 
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“ 源 安 全 域 ? 设 置 为 trust,“ 目 的 安全 域 ?设置 为 untrust,“ 源 地 址 /地 区 ”目的 地 址 /地 区 ” 
“服务 “应 用 ” 均 设 置 为 any, 如 图 3-221 所 示 。 


策略 配置 对 象 配 置 


NE 安全 第 略 匈 余 策 略 


ES NA [+ 到 ] [DW |] [Dm ] (im | (Nests |][ Ca | 
国 六 全 认证 《 :品名 称 源 安 全 域 | 目的 安全 域 源 地 址 /地 区 


图 ssl 解 窜 策 赂 


品 IP-MAC 娜 定 《 


图 3-220 进入 “安全 策略 "界面 


技术 | ] ozz 闻 和 


动 〖 Ot 省 Ox © my 
源 安全 域 | trust 


源 用 户 | 请 过 择 源 用 户 


源 地 址 /地 区 [any 
目的 地 址 地 区 any - 
Bs [any 
应 用 [am 
来 自 司 道 请 选择 硅 道 
时 间 | 请 二 时间 


VLAN | 请 给 AVIAN 
( 唆 值 范围 0-4094 ,格式 : 1,3,5-10,12) 


图 3-221 添加 静态 路 由 信息 


(19) 单 击 “ 确 定 ” 按 钮 ,可 在 “安全 策略 ”列表 中 看 到 刚刚 添加 的 “上 网 ”安全 策略 ,如 
图 3-222 所 示 。 
(20) 继续 单 击 “ 策 略 配 置 " 界 面 中 左 侧 的 “NAT 策略 ”, 为 ge3 和 ge4 接口 配置 源 
NAT 策略 ,如 图 3-223 所 示 。 
(21) 单 击 “ 添 加 ”按钮 ,在 弹出 的 “编辑 源 NAT” 界 面 中 ,在 “名 称 ” 中 输入 “地 址 转 
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TE en 


+mn ] [Brew |[( Om |[ Bm |[ A mers |[ Ca ] 
am es Smee ra aa er 四 am emo a 


es 电 ~ oy po po 二 a 


图 3-222 添加 上 网 安全 策略 


分 析 中 心 。 ”数据 中 心 。 ”处 置 中 心 。 ”策略 配置 

全 安全 第 源 NAT 目的 NAT NAT64 

sa [+ ] (Dm ]( 13ms ][ # Reedg ] [ Ca | 
国 安全 认证 口 名 称 天 地 址 | 目 


图 SSL 解 客 策 略 


图 3-223 “ 源 NAT 策略 ?标签 页 
换 ”, 在 “转换 前 匹配 ”部 分 中 的 “ 源 地 址 类 型 选中“ 地址 对 象 " 单 选 按钮 ,在 “ 源 地 址 ”中 的 


“对 象 配置 ”中 的 下 拉 列 表 中 选择 “财务 部 ”和 “其 他 部 门 ”,“ 目 的 地 址 类 型 "选中 “地 址 对 
象 ” 单 选 按钮 ,“ 目 的 地 址 “服务 “出 接口 ” 均 设 置 为 any, 如 图 3-224 所 示 。 


编辑 源 NAT 四 
名 称 。 | 地 址 转换 i 
搞 述 ] 0-127 字 区 
启用 ”加 
转换 前 匹配 
源 地 址 类 型 。” 加 地 址 对 银 〇 IP 地 址 
源 地 址 | 财务 部 其 他 部 站 
目的 地 址 类 型 ” @ 地 址 对 象 O 〇 Ip 地 址 
目的 地 址 。 | any | 
服务 |any | 
出 接口 | any v| 


图 3-224 编辑 源 NAT 策略 


(22) 向 下 编辑 “转换 后 匹配 "策略 ,“ 地 址 模式 ”选中 “静态 地 址 ” 单 选 按钮 ,“ 类 型 " 设 
置 为 IP,“ 地 址 ”输入 ge2 接口 的 IP 地 址 "124. 16. 8. 1”, 如 图 3-225 所 示 。 


转换 后 匹配 
地 址 模式 〇 动态 地 址 轿 荐 志 地 址 
类 |Ip ~ ] 


地 址 |124.16.8.1 上 


[we J ws | 


图 3-225 设置 转换 后 匹配 地 址 
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(23) 单 击 “ 确 定 ” 按 钮 ,返回 “ 源 NAT” 策 略 列 表 , 列 出 添加 的 源 NAT 策略 , 如 


图 3-226 所 示 。 


WNAT 目的 NAT 


[Cram | (Om ] (lm ] [Uh meers | [Cm 
om E79 
口 ist FT 


my my 1241681 


图 3-226 ”添加 源 NAT 策略 


(24) 此 源 NAT 策略 表示 从 内 网 的 “财务 部 ”和 “其 他 部 门 ”* 中 的 任意 主机 访问 任意 目 
的 地 址 提供 的 任意 服务 ,不 区 分 出 接口 ,转换 后 的 IP 地 址 为 "124. 16. 8. 1”。 
(25) 单 击 “ 策 略 配 置 ">“QoS”, 开 始 为 “财务 部 ”和 “其 他 部 门 ” 配 置 相 应 的 QoS 策 


略 。 单 击 “QoS” 列 表 界 面 中 的 ” 


所 示 。 


添加 ”按钮 ,开始 添加 财务 部 门 QoS 线路 ,如 图 3-227 


面板 


分 析 中 心 


三 安全 策略 


E3] NAT 策 略 


EY 安全 认证 


5SL 解 客 策 略 


IP-MAC 儿 定 


Qos 


[EEE 


网 会 限制 


四 安全 防护 


Qos 
[+xm ] (Dw ][ Ca | 
Dg 


3-227 ”添加 QoS 策略 


(26) 输入 线路 名 称 为 “财务 部 门 ”, 财 务 部 分 配 的 带宽 为 10MB, 上 下 行 带宽 设置 一 
致 ,换算 为 Kb, 则 设置 数值 应 为 10MB 二 10X1024X8 二 81920Kb, 内 网 接口 为 财务 部 对 


应 的 ge3 接口 ,外 网 接口 为 ge2 


接口 ,如 图 3-228 所 示 。 


* (1-63 个 字 初 ) 


* (1-83886080)Kb 


* (1-83886080)Kb 
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图 3-228 配置 财务 部 门 QoS 


第 3 章 防火 墙 基本 应 用 gm 


(27) 单 击 “ 确 定 ” 按 钮 添加 初步 的 策略 ,随后 单 击 QoS 策略 中 “财务 部 门 ”一 行 右 侧 
“操作 ” 列 的 “十 "号 ,设置 虚拟 QoS 配置 ,如 图 3-229 所 示 。 


es 
Tw | [Ow ][Ca 


om an on ne [ome De 
Mn) 这 ae am 十 


图 3-229 编辑 “财务 部 门 "策略 


司 


(28) 在 “添加 虚拟 QoS” 界 面 中 ,在 “虚拟 QoS 名 称 ” 中 输入 “财务 部 下 行 ",“ 方 向 ” 设 
置 为 “下 行 ”, 如 图 3-230 所 示 。 


图 3-230 配置 财务 部 门 虚拟 QoS 


(29) 因 本 实验 中 QoS 主要 用 于 控制 下 行 带宽 ,因此 虚拟 QoS 中 设置 内 容 为 控制 下 
行 链 路 方向 。 
(30) 单 击 “ 确 定 ” 按 钮 ,完成 虚拟 QoS 的 设置 ,如 图 3-231 所 示 。 


oos 
[+ ] [om][Cw ] 
EE 


ne Hue [pee am 
D+ an 四 本 En me /+ 
De 口 


图 3-231 添加 虚拟 QoS 策略 


(31) 单 击 该 虚拟 QoS, 在 下 方 会 显示 该 虚拟 QoS 的 通道 信息 ,如 图 3-232 所 示 。 


| ee 


[tw [om [Cw ] 
一 


an man pe pes | 
D+ an 加 四 as en /+ 
Ho o 


[ew] 


mm Veens Tes Le [A PN TEST 


图 3-232 编辑 虚拟 QoS 规则 

(32) 在 显示 的 “通道 名 称 ” 中 , 单 击 “ 操 作 ” 一 列 的 “十 ”, 在 该 虚拟 QoS 规则 中 修改 带 
宽 通道 ,在 “带宽 通道 名 称 ” 中 输入 “下 行 通道 ”“ 最 大 带宽 "和 “保证 带宽 ” 均 输 入 此 前 设置 
的 带宽 参数 81920, 如 图 3-233 所 示 。 

(33) 接 下 来 指定 财务 部 下 行 通道 的 规则 , 单 击 “ 财 务 部 门下 行 ”一 行 中 “规则 管理 ” 列 
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修改 带 宏 通道 加 


线路 名 称 。 | 财务 部 门 


父 级 带 灾 通道 名 称 。 | 财务 部 门下 行 | 


大 2 称 [Fi 通道 。 | (6 人 1 守 冤 
优先 级 回 高 O 〇 中 吕 低 
最 大 带宽 | 81920 (1-83886080)Kb/s 
保证 帝 帘 | 81920 {1-83886080)Kb/s 
转发 优先 级 “| 0 (0-63) 


每 IP 珊 完 配 置 。 站 启用 


图 3-233 ”配置 财务 部 带宽 通道 


的 数字 0( 注 意 不 是 下 方 “ 下 行 通道 ” 旁 的 数字 0) ,为 财务 部 门下 行 添加 QoS 通道 规则 ,如 
图 3-234 所 示 。 


图 3-234 配置 财务 部 下 行规 则 管理 


(34) 在 弹出 的 “规则 管理 ?界面 中 , 单 击 * 添 加 ”按钮 ,为 财务 部 门 添加 QoS 规则 ,在 
“规则 名 称 ” 中 输入 “带宽 “规则 类 型 ”选中 “普通 " 单 选 按 钮 ,“ 子 级 带宽 通道 名 称 ” 设 置 为 
第 32 步 建立 的 “下 行 通道 ”,“ 内 网 地 址 ”设置 为 “财务 部 ”“ 外 网 地 址 “服务 “应 用 ” 均 设 
置 为 any, 如 图 3-235 所 示 。 


父 级 带宽 通道 名 称 。 | 财务 部 门下 行 
子 委 带宽 通道 名 称 。 | 下 行 通道 ww 
内 网 地 址 。 | 财务 部 
外 网 地 址 | any ~ 
服务 | any 
应 用 |any 
源 用 户 
时 间 段 | 请 选择 时 间 段 ba 
启用 


[we Iw] 


3-235 配置 财务 部 QoS 规则 管理 


(35) 单 击 “ 确 定 ” 按 钮 .完成 QoS 规则 的 添加 ,在 “规则 管理 ”界面 中 会 显示 出 刚刚 添 
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加 的 规则 ,如 图 3-236 所 示 。 


[x] 


(+m ][ 口 ms |][ Cm |[ aus ) 
口 王 | 各 名 称 | 多 地 二 尖 道 名称 | 子 级 充 肖 这 名 条 。 | 内 网 地 直 。。 外 网 地 址 。。 | 服务 | mm | 要 户 | 


口 诈 则 条 部 站 则 各 部门 F 行 下 行进 道 出 多 部 amy amy any 


图 3-236 ”完成 添加 QoS 规则 


(36) 单 击 “ 关 闭 ” 按 钮 ,返回 QoS 界面 中 ,会 看 到 在 “财务 部 门下 行 ”一 行 右 侧 的 “ 规 
则 管理 ”一 列 中 ,数字 由 原来 的 0 变更 为 1, 表明 添加 了 一 条 规则 ,如 图 3-237 所 示 。 


3 TN GEN MS ms | 
. + 
+ 吕 


oma oo mo . . 2 


图 3-237 QoS 规则 显示 


(37) 完成 财务 部 门 QoS 设置 后 ,配置 其 他 部 门 的 QoS。 单 击 * 策 略 配置 ”QoS, 单 
击 上 方 的 “添加 ”按钮 ,添加 内 网 其 他 部 门 QoS 规则 。 内 网 其 他 部 门 分 配 的 带宽 为 40MB， 
换算 为 Kb 单位 , 则 40MB 王 40X1024X8 王 327680Kb, 如 图 3-238 所 示 。 


| 外 x 
线路 名 称 。 | 其 好 部 门 * (1-63 个 字 稳 ) 
上 行 珊 宽 | 327680 * (1-83886080)Kb 
下 行 带宽 |327680 * (1-83886080)Kb 
内 网 接口 ”| ge4 
外 网 接口 ”| ge2 


图 3-238 配置 其 他 部 门 QoS 


(38) 添加 完 其 他 部 门 QoS 后 , 单 击 该 行 右 侧 * 操 作 ? 一 列 的 “十 ,配置 虚拟 QoS, 如 
图 3-239 所 示 。 


添加 虚拟 QoS 


线路 名 称 。 | 其 地 部 门 


虚拟 QoS 名 称 。 | 其 他 部 门下 行 时 


方向 | 下 行 Y: 


EIED 
图 3-239 配置 其 他 部 门 虚拟 QoS 
(39) 单 击 “ 其 他 部 门下 行 ”, 在 通道 列表 中 , 单 击 右 侧 的 十”, 为 其 他 部 门下 行 虚拟 


QoS 添加 带宽 通道 ,如 图 3-240 所 示 。 
(40) 在 弹出 的 “添加 带宽 通道 "界面 ,“ 带 宽 通道 名 称 ” 输 入 “其 他 部 门 带宽 40MB”， 
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图 3-240 ”添加 QoS 调度 类 


内 网 其 他 部 门 设置 最 大 带宽 及 保证 带宽 都 为 40MB, 换 算 为 Kb, 即 40MB 一 40X1024X 
8 二 321680Kb。 其 他 部 门 共 享 40MB, 为 保证 其 他 部 门 每 个 内 网 用 户 的 使 用 ,需要 勾 选 
“每 IP 带宽 配置 " 复 选 框 ,并 将 “每 IP 带宽 "设置 为 6400Kb( 即 800KB) ,然后 单 击 “ 确 定 ” 
按钮 ,如 图 3-241 所 示 。 


(0-10485760000)Mb 


图 3-241 配置 其 他 部 门 带宽 通道 


(41) 单 击 “其 他 部 门下 行 ? 一 行 右 侧 的 “规则 管理 ? 列 的 数字 ,为 其 他 部 门下 行 添加 
QoS 规则 ,如 图 3-242 所 示 。 


os 

[tw ] (om)Lew] 

De mae 加 mo na 了 十 
RE 0 

De ma ~ EE EE /+ 
te 0 


图 3-242 配置 其 他 部 门 规则 管理 


w= 184 mm 
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(42) 在 “规则 管理 ?页 面 , 单 击 * 添 加 ?按钮 ,为 内 网 其 他 部 门 添加 QoS 规则 ,在 “规则 

名 称 ” 输 入 “其 他 部 门下 行规 则 ”,“ 规 则 类 型 ”选中 “普通 ” 单 选 按 钮 ,“ 子 级 带宽 通道 名 称 ” 

设置 为 第 40 步 设置 的 “其 他 部 门 带宽 40MB”,“ 内 网 地 址 ”设置 为 “其 他 部 门 ”",“ 外 网 地 

址 “服务 “应 用 ” 均 设置 为 any, 如 图 3-243 所 示 。 


图 3-243 “添加 规则 ”界面 


(43) 单 击 “ 确 定 ” 按 钮 ,在 “规则 管理 ”界面 中 会 显示 添加 规则 的 信息 ,如 图 3-244 
所 示 。 


[+ 和 ] (Dm ] (Ca ] (8m ] 
Ds 线 少 名 梓 父 绩 兴 守 通道 名 你 -| 子 级 芝 寅 通通 名 称 内 网 地 址 外 网 地 址 服务 用 | 源 用 户 | 时 
口 其 他 部 门下 行 -。 其 他 部 站 其 站 部 门下 行 其 他 部 门市 窜 40MB 其 他 部 门 any any any 


i ， 
N 4 | 得 | ] 1 页 | 》 MH | 每 RE 未 政 | 20 ~ 时 示 1-1, 共 1 条 


3-244 ”添加 QoS 规则 成 功 


(44) 单 击 “ 关 闭 ” 按 钮 ,在 “其 他 部 门下 行 " 右 侧 的 “规则 管理 ”中 可 见 数字 由 原来 的 0 
变 为 1, 如 图 3-245 所 示 。 
(45) 防火 墙 QoS 参数 设置 完毕 。 
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Ee 
[Fm] [0 [cw ] 
ee ri ee pr ~ pA 
SF o 
en 一 本 oe 中 
4 o 
nem 
me asa exeaom sseatm seaa ram 。 apeaom smaapm cm awe se ar 
mi ey 6 | 本 + 口 
eR 而 227600 327680 日 or 日 x 0 全 A 十 口 
图 3-245 添加 QoS 规则 
【实验 预期 】 


(1) 财务 部 访问 FTP 服务 器 ,并 下 载 指定 文档 (文档 大 小 约 为 500MB) ,下 载 带宽 应 
能 达到 10MB 左右 。 

(2) 其 他 部 门 访问 FTP 服务 器 ,并 下 载 相同 指定 文档 (文档 大 小 约 为 500MB) 下 载 带 
宽 应 为 800KB 左右 。 


【实验 结果 】 


1) 查看 财务 部 主机 下 行 速率 
(1) 登录 实验 平台 对 应 实验 拓扑 中 右上 方 的 Windows XP 虚拟 机 ,如 图 3-246 所 示 。 


:172.16.2.100/24 


ge2: 124.16.8.1/24 
~ 


FTP 服 务 器 : 124.16.8.100/24 


ge4: 172.16.3.1/24 


其 他 部 门 


: 172.16.3.100/24 


gel : 10.0.0.1/24 


管理 机 : 10.0.0.44/24 
(以 实际 下 地 址 为 准 ) 


图 3-246 ”登录 右上 方 虚拟 机 


(2) 在 虚拟 机 桌面 的 右 下 角 显 示 360 安全 卫士 的 悬浮 框 ,其 中 显示 当前 的 网 速 , 用 于 
后 续 查 看 网 速 ,如 图 3-247 所 示 。 
(3) 双击 桌面 的 火狐 浏览 器 快捷 图 标 ,运行 火狐 浏览 器 ,如 图 3-248 所 示 。 
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EE 


图 3-247 显示 当前 网 速 状态 图 3-248 ”双击 火狐 浏览 器 快捷 图 标 


(4) 在 本 实验 中 ,ge2 口 通 过 连接 一 台 FTP 服务 器 模拟 Internet 环境 ,其 IP 地 址 为 
“124. 16. 8. 100”。 在 火狐 浏览 器 的 地 址 栏 输 入 “ftp: //124. 16. 8. 100”, 通 过 防火 墙 访问 
该 FTP 服务 器 ,如 图 3-249 所 示 。 


杜 etp://124.16.6.100/ 的 … x 


1€) © sr//i24 16.8.100 © Qn 个 | 自 县 会 


ftp://124. 16. 8. 100/ 的 索引 
硕 昌 到 上 一 层 文件 夫 


大 小 修改 时 间 


国 tetdomlond zip St2000 Wh 2017-9-12 2115:00 


图 3-249 使 用 浏览 器 访问 FTP 服务 器 


(5) 单 击 其 中 的 “testdownload. zip” 文 件 ,在 弹出 的 窗口 中 单 击 “ 保 存 文件 ”, 如 
图 3-250 所 示 。 

(6) 单 击 “ 确 定 ” 按 钮 ,将 该 文件 保存 至 桌面 ,如 图 3-251 所 示 。 

(7) 此 时 可 在 360 安全 卫士 悬浮 框 中 查看 当前 的 下 行 实 时 网 速 约 为 10MB/s 左右 
(网 速 上 下 浮动 属于 正常 现象 ), 如 图 3-252 所 示 。 

(8) 综 上 所 述 , 财 务 部 主机 已 达到 防火 墙 预 设 的 网 速 10MB/s, 满 足 预期 要 求 。 

2) 查看 其 他 部 门 主机 下 载 速率 

(1) 登录 实验 平台 对 应 实验 拓扑 中 右 下 方 的 虚拟 机 PC2, 如 图 3-253 所 示 。 

(2) 在 虚拟 机 桌面 的 右 下 角 显 示 安 全 卫士 的 悬浮 框 ,其 中 显示 当前 的 网 速 , 用 于 后 续 
查看 网 速 时 使 用 ,如 图 3-254 所 示 。 
(3) 双击 桌面 的 火狐 浏览 器 快捷 图 标 ,运行 火狐 浏览 器 ,如 图 3-255 所 示 。 
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正在 打开 testdownload. zip 


您 选择 了 打开 : 
国 testdornlond zip 


文件 类 型 : 好 压 ZIP 压缩 文件 (500 Np) 
来 源 : ftp://124.16.8.100 


您 想 要 Pirefox 如 何 处 理 此 文件 了 
[加 打开 ,通过 人 @) |2345 好 庄 _ 众 认 ) ~ 
四柱 FG ] 


以 后 自动 雪 用 相同 8 动作 处 理 此 基文 件 。 A) 


确定 取消 
图 3-250 保存 文件 


请 输入 要 保存 的 文件 名 一 


好 压 ZIF 压 达 文件 


图 3-251 保存 文件 至 桌面 


图 3-252 ”实时 监控 网 速 


(4) 在 火狐 浏览 器 的 地 址 栏 同 样 输入 FTP 服务 器 的 地 址 “ftp: //124. 16. 8. 100”, 通 
过 防火 墙 访问 该 FTP 服务 器 ,如 图 3-256 所 示 。 

(5) 单 击 其 中 的 testdownload. zip 文件 ,在 弹出 的 窗口 中 选中 * 保 存 文件 ? 单 选 按钮 
如 图 3-257 所 示 。 

(6) 单 击 “ 确 定 ” 按 钮 ,将 该 文件 保存 至 桌面 ,如 图 3-258 所 示 。 
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交换 机 | 财务 机 


ge3: 172.16.2.1/24 


ge2: 124.16.8.1/24 
ed 


FTP 服 务 器 : 124.16.8.100/24 


ge4: 172.16.3.1/24 


交换 机 PC2: 172.16.3.100/24 


管理 机 : 10.0.0.44/24 
(以 实际 耳 地 址 为 准 ) 


图 3-253 登录 右 下 方 虚拟 机 


图 3-254 显示 当前 网 速 状 态 ( 右 下 方 虚拟 机 ) 


图 3-255 ”双击 火狐 浏览 器 快捷 图 标 ( 右 下 方 虚拟 机 ) 
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tp://124 16.6.100/ 的 x 
tpi/ © |[Q ss 们 | 自 呈 会 


ftp://124. 16. 8. 100/ 的 索引 
多 回 和 到 上 一 层 文件 夫 
大 小 修改 时 间 


名 称 
国 testdornlond ai Sl2000 WB 2017-9-12 2:15:00 


图 3-256 ”使 用 浏览 器 访问 FTP 服务 器 ( 右 下 方 虚拟 机 ) 


正在 打开 testdownload. zip 


悠 选择 了 打开 : 
苹 testdornload rip 
文件 类 型 : 好 压 ZIP 压缩 文件 (500 NB) 
来 源 : ftp://124.16.8.100 
您 想 要 Firefox 如 何 处 理 此 文件 了 


避 打开 , 通过 和 @) [2345 好 压 仇 认 ) 


图 3-257 保存 文件 ( 右 下 方 虚 拟 机 ) 


请 输入 要 保存 的 文件 名 ~ 
回 师 

四 我 9 文档 
最 我 的 电脑 


加 网 上 后 
EE 


图 3-258 保存 文件 至 桌面 ( 右 下 方 虚拟 机 ) 
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(7) 此 时 可 在 安全 卫士 悬浮 框 中 查看 当前 的 下 行 实 时 网 速 约 为 835K/s( 网 速 上 下 浮 
动 属 于 正常 现象 ) ,如 图 3-259 所 示 。 


伙 新 Firefox 


一 Ry 10:37 


图 3-259 实时 监控 网 速 ( 右 下 方 虚拟 机 ) 
(8) 综 上 所 述 ,其 他 部 门 的 主机 也 已 达到 防火 墙 预 设 的 网 速 800KB/s, 满 足 预期 
要 求 。 


【实验 思考 】 

(1) Q 公司 市 场 部 的 QoS 要 求 与 财务 部 的 QoS 要 求 相同 ,但 是 财务 部 优先 于 市 场 
部 ,QoS 如 何 调整 ? 

(2) 如 果 对 其 他 部 门 用 户 的 下 载 流量 进行 限定 ,应 如 何 配 置 QoS? 
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防火 墙 高 级 应 用 


在 新 的 威胁 环境 下 ,为 了 更 好 地 发 挥 防火 墙 的 功能 , 除 完 成 防火 墙 的 基本 网 络 配置 和 
应 用 外 ,还 需要 完成 防火 墙 的 高 级 应 用 。 认 证 管理 包含 防火 墙 CA 中 心 配 置 实验 、 防 火 墙 
证 书 管理 实验 .防火 墙 安全 认证 实验 .防火 墙 SSL 解密 策略 实验 等 ;部 署 模式 包含 防火 墙 
网 关 HA 主 备 模式 部 署 实验 防火 墙 网 关 HA 多 出 口 部 署 实验 、 虚 拟 防 火 墙 创建 管理 实 
验 和 防火 墙 配置 文件 管理 实验 ;数据 分 析 包 含 防火 墙 资产 管理 设置 实验 ,防火 墙 日 志 管理 
实验 ,防火墙 统计 数据 管理 实验 和 防火 墙报 表 管 理 实验 等 。 


4.1 认证 管理 


4.1.1 防火 墙 安全 认证 实验 


【实验 目的 】 

通过 安全 认证 的 设置 ,对 内 网 用 户 访问 外 网 进行 身份 认证 ,并 向 用 户 推 送 指定 的 网 页 
内 容 。 

【知识 点 】 

用 户 认 证 .用户 认证 组 .AD 服务器、 本 地 认证 。 


【实验 场景 】 

A 公司 为 了 方便 员工 移动 办 公 , 组 建 了 无 线 办 公 网 络 。 但 是 ,在 方便 办 公 的 同时 , 安 
全 运 维 工 程 师 遇 到 了 一 件 比较 头疼 的 事情 ,公司 常常 会 有 一 些 外 来 访客 ,领导 出 于 安全 考 
虑 ,不 希望 访客 通过 该 无 线 办 公 网 访问 互联 网 ,请 思考 应 如 何 通过 配置 防火 墙 解决 这 个 
问题 。 


【实验 原理 】 

认证 策略 是 Web 认证 及 URL 重 定向 触发 的 前 提 , 认 证 策略 支持 用 户 添 加 、 编 辑 、 删 
除 和 调 序 认证 策略 ,并 在 认证 策略 列表 中 查看 当前 认证 策略 源 安 全 域 .目的 安全 域 , 源 地 
址 ,目的 地 址 ,认证 类 型 等 信息 ,从 而 实现 对 用 户 的 统一 管理 ,提高 企业 网 络 安全 水 平 。 

【实验 设备 】 

。 安全 设备 : 防火 墙 设备 1 台 。 

。 网 络 设备 : 2 层 交换 机 1 台 。 


ee 第 4 章 防火 墙 高 级 应 用 mm 
。 主机 终端 : Windows Server 2003 SP2 主机 1 台 , Windows XP 主机 2 台 ,Windows 7 
主机 1 台 。 


【实验 拓扑 】 
实验 拓扑 如 图 4-1 所 示 。 


PC1: 172.16.2.100/24 


ge2: 124.16.8.1/24 ge3: 172.16.2.1/24 


Web 服 务 器 : 124.16.8.100/24 PC2: 172.16.2.200/24 


gel: 10.0.0.1/24 


管理 机 : 10.0.0.44/24 
(以 实际 IP 地 址 为 准 ) 


图 4-1 防火 墙 安全 认证 实验 拓扑 


【实验 思路 】 

(1) 配置 防火 墙 网 络 接口 。 

(2) 进行 防火 墙 的 对 象 配置 。 

(3) 配置 防火 墙 安全 策略 。 

(4) 配置 防火 墙 NAT 策略 。 

(5) 配置 认证 用 户 、 认 证 用 户 组 .认证 用 户 角 色 。 

(6) 在 本 地 认证 服务 器 中 绑 定 认证 用 户 、 认 证 用 户 组 .认证 用 户 角 色 。 

(7) 配置 Web 认证 参数 。 

(8) 配置 Web 认证 策略 

(9) 认证 用 户 可 正常 访问 Web 网 站 , 非 认证 用 户 需 输入 认证 用 户 名 及 密码 访问 Web 
网 站 。 

【实验 要 点 】 

下 一 代 防 火 墙 管 理 员 可 单 击 “ 系 统 配置 ">“ 认 证 用 户 ”, 创 建 本 地 用 户 和 用 户 组 。 

【实验 步 又】 


(1) 一 (3) 登录 并 管理 防火 墙 ,检查 防火 墙 的 工作 状态 。 
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(4) 单 击 面板 上 方 导航 栏 中 的 “网 络 配 置 ", 单 击 ge2 右 侧 “操作 ”中 的 笔 形 标志 ,编辑 
ge2 接口 设置 。 

(5) 在 本 实验 中 ,ge2 口 用 于 模拟 Internet, 因 此 将 ge2 口 IP 设置 为 “124. 16. 8. 1”， 
“ 子 网 掩 码 ” 为 “255. 255. 255. 0”,“ 安 全 域 ”为 untrust, 后 续 步 骤 按 照 此 要 求 进 行 调 整 。 在 
“编辑 物理 接口 ?界面 中 ,工作 模式 ?选中 * 路 由 模式 ” 单 选 按钮 , 单 击 本 地 地 址 列表 中 的 
IPv4 标签 列表 中 的 “十 添加 ?按钮 。 如 果 已 有 IP 地 址 设置 , 则 单 击 IP 地 址 右 侧 “ 操 作 ” 的 
笔 形 标 志 , 视 具体 情况 决定 。 

(6) 在 “添加 IPv4 本 地 地 址 "中 ,输入 本 实验 设 定 的 IP 地 址 “124. 16. 8. 1”, 该 地 址 用 
于 与 实验 虚拟 机 通信 时 ,输入 “ 子 网 掩 码 ” 为 “255. 255. 255. 0”,“ 类 型 "默认 为 float, 如 
图 4-2 所 示 。 


本 地 地 址 | 124.16.8.1 
子 网 挤 码 | 255.255.255.0 
类 |float ~ 


图 4-2 添加 IPv4 本 地 地 址 


(7) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 ,查看 参数 是 否 设 置 完 毕 ,再 单 击 “ 确 
定 ” 按 钮 ,关闭 “编辑 物理 接口 "界面 。 

(8) 本 实验 中 ,ge3 接口 模拟 连接 公司 内 部 网 络 ,分 配 其 IP 地 址 段 为 *172. 16. 2.0” 网 
段 , 接 口 对 应 IP 为 “172. 16. 2. 1”, 后 续 步 又 以 此 描述 为 准 。 

(9) 回 到 “接口 "界面 , 单 击 ge3 接口 右 侧 的 笔 形 标志 ,设置 ge3 接口 IP 地 址 为 “172. 
16:2: > 

(10) 由 于 ge3 接口 连接 的 是 公司 内 网 区 域 ,因此 设置 其 安全 域 为 trust, 在 “本 地 地 址 
列表 ”中 IPv4 编辑 方法 与 ge2 编辑 方法 相同 ,输入 “本 地 地 址 ”为 *172. 16. 2. 1”,“ 子 网 掩 
码 ” 为 “255. 255. 255.0”, 如 图 4-3 所 示 。 
添加 IPv4 本 地 地 址 [el 

本 地 地 址 [172.16.2.1 * 


子 网 掩 码 [255.255.255.0 
类 型 [float ~ 


EE 
4-3 ”编辑 ge3 接口 IP 地 址 参数 


(11) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 ”界面 ,确认 接口 相关 信息 后 ,再 单 击 “ 确 
定 ” 按 钮 ,返回 “接口 ”界面 ,如 图 4-4 所 示 。 
(12) 设置 好 网 络 接口 后 ,对 ge3 接口 的 IP 地 址 段 进 行 对 象 配 置 ,以 便 后 续 进 行 安全 
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[到 ~v ] [DD 器 ] [CA 太 ] 


口 g | I 十 入 信息 HA 组 安全 二 
10.0.0.1/255.0.00 
gel 路 由 模式 192.168.1.50/255.255.0.0 0 
fe80::216:31ff:fee1:a80c/64 
124.16.8.1/255.255.255.0 
we Mt fe80:216:31fffee1:a80d/64 9 me 
3 路由 模式 eb Gr 0 ik 


图 4-4 ge2 和 ge3 接口 信息 


策略 配置 。 单 击 上 方 导航 栏 中 的 “对 象 配 置 ">“ 地 址 ”>* 地 址 ”, 会 显示 地 址 列表 信息 ,如 
图 4-5 所 示 。 


地 tt 
+in | (Dm ][ Cm ] 
名 称 | 地 址 
any 0.0.0.0/0, :/0 


图 4-5 地 址 列表 


(13) 单 击 * 地 址 ?列表 中 的 “添加 ”按钮 ,将 ge3 对 应 的 内 网 地 址 段 *172. 16. 2. 0/24” 
加 入 地 址 对 象 中 。 在 “名 称 ” 中 输入 “内 网 网 段 ”, 在 "IP 地 址 ”中 输入 “*172. 16. 2. 0/24”, 如 
图 4-6 所 示 。 


内 网 网 让 * (1-63 字 笠 ) 
(Oo-127 字 夭 


172.16.2.0/24 


图 4-6 输入 内 网 网 段 信息 


(14) 单 击 “ 确 定 ” 按 钮 ,在 “地 址 ”列表 中 会 显示 添加 的 内 网 网 段 信息 ,如 图 4-7 所 示 。 


地 址 
[+ ] [Om ][C 昧 ] 

名 称 | 地 址 

any 0.0.0.0/0, =/0 

内 网 网 段 172.16.2.0/24 


4-7 添加 内 网 网 段 成 功 
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(15) 完成 添加 地 址 对 象 后 ,需要 设置 安全 策略 和 NAT 策略 ,以 便 内 网 主机 可 以 访问 
外 网 区 域 中 的 Web 服务 器 。 

(16) 单 击 上 方 导航 栏 中 的 “策略 配置 >“ 安全 策略 ”, 会 显示 当前 防火 墙 中 的 安全 策 
略 列表 。 由 于 尚未 设置 安全 策略 ,所 以 安全 策略 列表 为 空 , 如 图 4-8 所 示 。 


全 安全 芝 略 


安全 策略 匈 作 策 路 
加 Ws [Ff] [Fw ] (Ow ] (Iw ] (Werm ] [Ca | 
国 妆 全 证 < :Ds 王 安 全 域 目的 安全 域 源 地 址 /地 区 目的 地 址 /地 区 


图 55 第 略 
IP-MAC 饰 定 
回 oos 

黑白 名 单 
同 二 几 制 


国 雪人 防护 


图 4-8 安全 策略 列表 


(17) 设置 内 网 用 户 访问 外 网 的 安全 策略 , 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 安全 策 
咯 ” 界 面 中 ,在 “名 称 ” 中 输入 “内 网 访问 外 网 ”将 “动作 ”选中 “允许 ” 单 选 按 钮 ,将 “ 源 安全 
域 ” 设 置 为 trust, 将 “目的 安全 域 " 设 置 为 any, 将 “ 源 地 址 /地 区 ”设置 为 * 内 网 地 址 段 ”, 将 
“目的 地 址 /地 区 ”服务 “应 用 ” 均 设置 为 any, 如 图 4-9 所 示 。 


编辑 安全 第 略 加 | 
名 称 | 内 网 访问 外 网 
| | om27 了 各 
局 用 四 
动作 ”图 允许 Ox 〇 支 全 连接 已 道 ) 
源 安全 域 。 | trust ~ 
目的 安全 域 | any ~ 


时 间 ”| 请 选择 时 间 a 


VIAN “| 请 纺 和 VLAN 
( 芭 值 范围 0-4094 , 格式 : 1,3.5-10,12) > 


ws J ws J 


图 4-9 添加 内 网 访问 外 网 安全 策略 


(18) 单 击 “ 确 定 ” 按 钮 ,完成 安全 策略 的 添加 ,如 图 4-10 所 示 。 
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| 

[+ ][(5mm [Om |][iam ] [sser8 ][Cw ) 

BEES es Boss 二 Bo |es 2] Eo] een [a 
口 PR Bust a A ry a a FF 


图 4-10 完成 添加 安全 策略 


(19) 单 击 “策略 配置 "一 “NAT 策略 ”, 开 始 设 置 NAT 策略 ,为 保护 内 网 用 户 ,需要 设 
置 源 NAT 策略 , 单 击 “ 源 NAT”, 显 示 当 前 的 源 NAT 策略 列表 ,如 图 4-11 所 示 。 


| 源 NAT 目的 NAT NAT64 
十 ii ] [ Dw |][ tms |][ $ Sstx ][ Cm | 
EE 源 地 址 目的 地 址 


图 4-11 “ 源 NAT” 标 签 页 


(20) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 源 NAT” 界 面 中 ,在 “名 称 ” 中 输入 “内 网 地 
址 转换 "。 在 “转换 前 匹配 ”一 栏 中 ,将 “ 源 地 址 类 型 "选中 “地 址 对 象 ” 单 选 按钮 ,将 “ 源 地 
址 ”设置 为 “内 网 地 址 段 ”, 将 “目的 地 址 “服务 “出 接口 ” 均 设置 为 any。 在 “转换 后 匹配 ” 
一 栏 中 ,将 “地 址 模式 ”选中 “静态 地 址 ” 单 选 按 钮 ,将 “类 型 "设置 为 IP, 在 “地 址 ”中 输入 
ge2 口 的 IP 地 址 *124.16. 8.1”, 即 内 网 用 户 访 问 外 网 ,会 将 其 内 网 网 段 “172. 16. 3.0” 的 
IP 地 址 转换 为 "124. 16. 8. 1”, 起 到 隐藏 内 部 网 络 地 址 信息 的 作用 ,如 图 4-12 和 图 4-13 
所 示 。 


添加 源 NAT x 
名 称 | 内 网 地 址 转换 * (1-63 字 符 ) 
毛 述 (0-127 字 物 
启用 回 
转换 前 匹配 


出 授 口 | any ~ 


图 4-12 添加 源 NAT 转换 前 匹配 


地 址 模式 。 〇 动态 地 址 回 划 帮 地 址 
类 |p 
地 址 | 124.16.8.1| 


图 4-13 添加 源 NAT 转换 后 匹配 
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(21) 单 击 “ 确 定 ” 按 钮 ,完成 源 NAT 策略 的 添加 ,如 图 4-14 所 示 。 


源 NAT 目的 NAT NAT64 


十 添 口 和 了 8 调 序 内 清 队 命中 数 C PB 
中 名称 天 地 址 目的 地 址 服务 
口 内 网 地 址 转换 哪 内 网 地 址 让 any any 


图 4-14 源 NAT 策 略 列表 


(22) 为 实现 安全 认证 功能 ,需要 配置 认证 用 户 和 认证 服务 器 及 用 户 标 识 。 
(23) 配置 认证 用 户 。 单 击 导 航 栏 “系统 配置 ”一 “认证 用 户 ”, 显 示 “* 认 证 用 户 ? 列 表 ， 
如 图 4-15 所 示 。 


总 设 让 


a ‘| [Fm] [DW [CW] 
[2 口 征 有 甚至 | 组 


加 高 林 用 性 

白 资产 管理 

图 证 已 理 

局 WERP ~ 
认证 用户 
认证 用 户 组 


认证 用 户 角色 


4-15 认证 用 户 列表 


(24) 单 击 上 方 的 “十 添加 ”按钮 ,在 弹出 的 “添加 认证 用 户 ” 界 面 中 ,在 “名 称 ” 中 输入 
cert, 在 “密码 ”和 “确认 密码 ”中 均 输 入 123456, 在 有效期 至 ”中 不 输入 内 容 , 默 认为 永久 
有 效 ,如 图 4-16 所 示 。 


添加 认证 用 户 | 
你 [ct |] aa 
接 下 (0-127 字 香 ) 
密码 [-……-- * (1-31 人 字 泡 
确认 室 码 | …-… 0-311 字 生 
站 | | 


图 4-16 添加 认证 用 户 名 称 


(25) 单 击 “ 确 定 ” 按 钮 .完成 认证 用 户 添加 ,如 图 4-17 所 示 。 
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认证 用 户 
Dg 


口 cert 


图 4-17 认证 用 户 列 表 ( 已 添加 用 户 ) 


(26) 为 方便 管理 ,通常 是 将 多 个 本 地 用 户 进行 分 组 管理 ,可 对 认证 用 户 组 中 的 成 员 
进行 批量 绑 定 或 解除 绑 定 。 单 击 * 系 统 配置 ”认证 用 户 ” 一 “认证 用 户 组 ”, 显 示 * 认 证 用 
户 组 ”列表 ,如 图 4-18 所 示 。 


策略 配置 对 条 配 置 网 络 配 置 系统 配置 


站 设 证 
A em : 
管理 主机 Dsw 
加 高 林 用 性 
四 资 蕊 理 
证 书 管理 < 
局 WFR ~ 
认证 用 户 


认证 用 户 组 


认证 用 户 角色 


图 4-18 认证 用 户 组 列表 


(27) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 认证 用 户 组 ”界面 中 ,在 “名 称 ” 中 输入 “认证 
内 网 用 户 ”, 将 “成 员 列 表 ” 设 置 为 刚刚 创建 的 认证 用 户 cert, 双 击 cert, 将 该 用 户 加 入 该 组 
中 ,如 图 4-19 所 示 。 


名 称 。 | 认证 内 网 用 户 | -633 
扰 述 | ozr 了 9 
成 员 。 | 可 先 ES 
Cert 
» 
> 
< 
« 
I | 等 厂 mat1 页 | 


图 4-19 添加 认证 用 户 到 认证 用 户 组 中 
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(28) 单 击 “ 确 定 ” 按 钮 ,在 “认证 用 户 组 ”列表 中 列 出 添加 完成 的 “认证 内 网 用 户 ”, 并 
显示 当前 组 中 的 成 员 数 量 ,如 图 4-20 所 示 。 


认证 用 户 组 
[+ | [OB][(CM |] 


癌 名 称 | 成员 个 数 
口 认证 内 网 用 户 1 


图 4-20 ”认证 用 户 组 信息 


(29) 配置 认证 用 户 角 色 , 认 证 用 户 角 色 是 对 认证 用 户 实现 基于 用 户 角色 的 管理 方 
式 , 认 证 用 户 角色 需要 用 户 添加 角色 名 称 , 在 对 认证 用 户 进行 角色 批量 绑 定 或 者 解除 绑 
定 。 单 击 “ 系 统 配置 ”一 “认证 用 户 ” 一 “认证 用 户 角色 ”, 显 示 “ 认 证 用 户 角色 ?列表 ,如 
图 4-21 所 示 。 


策略 配置 对 银 配 置 网 络 配置 系统 配置 


了 ae 
Cas 认证 用 户 角 色 


Am 


图 4-21 认证 用 户 角色 列表 


(30) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 认证 用 户 角色 ”界面 中 ,在 “名 称 ” 中 输入 “ 管 
理 者 ”, 将 成员” 设置 为 刚刚 创建 的 认证 用 户 cert, 双 击 cert, 将 该 认证 用 户 加 入 认证 用 户 
角色 中 ,如 图 4-22 所 示 。 

(31) 单 击 “确定 ”按钮 .在 “认证 用 户 角 色 ” 列 表 中 会 列 出 添加 好 的 认证 用 户 角色 和 该 
认证 用 户 角 色 中 的 成 员 数 量 , 如 图 4-23 所 示 。 
(32) 完成 认证 用 户 配 置 后 ,需要 配置 认证 服务 器 。 单 击 “ 系 统 配 置 " 一 “认证 服务 
器 ”, 列 出 防火 墙 当 前 使 用 的 认证 服务 器 ,如 图 4-24 所 示 。 

(33) 防火 墙 默认 包含 一 个 local 认证 服务 器 ,该 服务 器 不 可 删除 。 单 击 local 右 侧 
“操作 ” 列 中 的 笔 形 标志 ,编辑 local 认证 服务 器 信息 ,如 图 4-25 所 示 。 

(34) 在 此 需要 将 刚刚 添加 的 认证 用 户 cert 在 认证 服务 器 中 注册 。 双 击 “ 用 户 成 员 ” 
中 的 cert, 将 该 认证 用 户 注册 到 认证 服务 器 中 ,如 图 4-26 所 示 。 

(35) 单 击 “ 确 定 ” 按 钮 .可 在 “认证 服务 器 ”列表 中 查看 local 右 侧 “详细 信息 ”中 显示 
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“1 member”, 如 图 4-27 所 示 。 
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添加 认证 用 户 角色 加 | 
名 称 | 管理 者 0-63 字 千 
搞 还 (0-127 字 知 ) 
成 员 | 梧 迁 | le 
cert 
» 
> 
< 
« 
K 4| 利 [| |et1 页 > | 
确定 取消 
图 4-22 添加 认证 用 户 角色 
认证 用 户 角 色 
[十 种 ] 
口 g 称 成 员 个 数 
] 管理 者 1 


图 4-23 ”认证 用 户 角色 列表 (已 添加 用 户 ) 


网 省 配置 


系统 配置 


面板 。 分 析 中 心 策略 配置 。。 对 象 瑟 置 
冯 是 认证 服务 器 
A en CE] 
ween Da x 
i 口 ecal 本 by 证 
白 资产 管理 
古书 管理 < 
局 ME 用 户 ~ 

认证 用 户 

认证 用 户 组 

认证 用 户 角色 
例 认 ES 器 


0 member 


图 4-24 认证 服务 器 列表 


(36) 设置 好 认证 用 户 和 认证 服务 器 后 .需要 将 IP 地 址 与 认证 用 户 进行 绑 定 , 绑 定 方 
式 可 通过 手工 绑 定 或 AD 联动 ,本 实验 中 采用 手工 绑 定 方 式 , 绑 定 IP 的 内 网 IP 地 址 为 
“172. 16. 2. 100”。 单 击 “ 系 统 配置 ”>“ 用 户 标 识 ”>“ 手 工 绑 定 ”, 显 示 当 前 “手工 绑 定 ” 列 


表 , 如 图 4-28 所 示 。 
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* (1-63 六 和 初 


类 型 。 | 本 地 认证 


会 个 Vy 


图 4-25 ”编辑 local 认证 服务 器 信息 


4-26 注册 cert 到 认证 服务 器 


认证 服务 器 


(+n ][ Dams ][ Cm ] 


本 地 认证 


图 4-27 查看 local 认证 服务 器 信息 
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mae 第 4 章 防火 墙 高 级 应 用 ma 


re 一 一 一 
hy 手工 绑 定 


及 wmR ‘| [Fim] [Om (Cw | Cin 
wet 四 | 一 认 在 取 务 中 


是 高 柯 用 性 
[三 
图 ws 
局 ME 有 户 ~ 
认证 用 户 
认证 用 户 组 
认证 用 户 角色 
多 Wii8 务 中 
内 用 AP 本 如 
手工 细 定 


AD 联动 


图 4-28 “手工 绑 定 ?标签 页 


(37) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 手工 绑 定 界面 中 ,将 * 认 证 服务 器 ”设置 为 默 
认 的 local, 将 “用 户 名 ?设置 为 cert, 在 “IP 地 址 ”中 输入 *172. 16. 2. 100”, 如 图 4-29 所 示 。 


添加 手工 绑 定 四 
认证 服务 器 local vl 
自 定义 用 户 各 启用 
用 户 名 cert 


IP 地 址 [172.16.2.100 


护 用 户 可 绑 定 1-8 项 |P， 告 余 1024 项 |p 可 绑 定 ) 


图 4-29 ”添加 手工 绑 定 信息 


(38) 单 击 “ 确 定 ” 按 钮 ,在 “手工 绑 定 ”列表 中 显示 添加 好 的 信息 ,如 图 4-30 所 示 。 


手工 牧 定 


[ttm][Om ][Cm ] [es 


DD mrs 认证 服务 天 | WEP 
Deert al 172162.100 


图 4-30 手工 绑 定 列表 
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(39) 认证 用 户 相 关 配 置 完 成 后 ,配置 安全 认证 策略 。 单 击 “ 策 略 配 置 "->“ 安 全 认证 ”一 
“Web 认证 ”, 勾 选 “Web 认证 ” 旁 的 “启用 ” 复 选 框 ,将 “认证 模式 ”设置 为 HTTP,“HTTP 
端口 "采用 默认 的 65080,“ 登 录 配 置 " 采 用 默认 参数 即 可 ,由 于 使 用 的 是 HTTP 方式 , 因 
此 “HTTPS 配置 "无须 调整 ,如 图 4-31 所 示 。 


认证 模式 。 图 HTTP O 〇 HTrrs 
HTTP 疆 口 。 | 65080 (1025-65535) 


Cw ] (mw | 


图 4-31 配置 Web 认证 策略 


(40) 单 击 “ 确 定 "按钮 ,防火 墙 提示 执行 成 功 , 如 图 4-32 所 示 。 


图 4-32 配置 策略 成 功 
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(41) 配置 认证 策略 。 单 击 “ 策 略 配置 ">“ 安 全 认证 ”>“ 认 证 策略 ”, 显 示 “ 认 证 策略 ” 
列表 ,如 图 4-33 所 示 。 


面板 。 分 析 中 心 。 ”数据 中 心 。 ”处 置 中 心 。 ”策略 配置 
普 安全 策略 认 理 策略 

wi ET 
国 安全 认证 v :Dm 天安 全域 | 目的 安全 域 
认证 第 咯 

WEB 认 证 

URL 重 定向 


图 4-33 认证 策略 列表 


(42) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 认证 策略 ”界面 中 ,在 “名 称 ” 中 输入 *Web 认 
证 ”, 将 “动作 ”选中 “Web 认证 " 单 选 按钮 ,将 “ 源 安全 域 " 设 置 为 trust, 将 “目的 安全 域 " 设 
置 为 any, 将 * 源 地 址 ?设置 为 “内 网 网 段 ”, 将 * 目 的 地 址 ?设置 为 any, 将 “认证 服务 器 ”设置 
为 local ,如 图 4-34 所 示 。 


添加 认证 第 赂 
名 称 。 [WEB 认证 
启用 加 
动作 ”图 WEB 认 证 〇 CURL 重 定向 
源 安全 域 | trust 
目的 安全 域 [any 
源 地 址 | 内 网 网 
目的 地 址 | any 
认证 服务 器 。 | local 


图 4-34 添加 认证 策略 


(43) 单 击 “ 确 定 ” 按 钮 ,在 “认证 策略 "列表 中 显示 添加 的 认证 策略 ,如 图 4-35 所 示 。 


认证 第 略 


[tw] [Dw | (im [ss+s | [CR ] 


:Dg | 天安 全 域 目的 安全 域 天 地 址 目的 地 址 认证 类 型 


口 web 认 证 Qst any 图 内 网 网 各 any Web 认 证 local 


图 4-35 认证 策略 列表 (已 添加 策略 ) 
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【实验 预期 】 

(1) 已 绑 定 IP 的 认证 用 户 可 正常 访问 网 站 。 

(2) 未 认证 用 户 访 问 网 站 时 ,需要 在 Web 认证 页 面 填写 认证 信息 才 可 访问 网 站 。 

【实验 结果 】 

1) 认证 用 户 访问 网 站 

(1) 登录 实验 平台 中 实验 拓扑 右上 侧 的 虚拟 机 PC1, 该 虚拟 机 的 IP 地 址 为 *172. 16. 
2.100”, 按 照 前 述 步 又 ,该 机 为 认证 用 户 , 使 用 该 虚拟 机 访问 网 站 ,如 图 4-36 所 示 。 


PC1: 172.16.2.100/24 


-了 


ge2: 124.16.8.1/24 ge3: 172.16.2.1/24 


= - 


Web 服 务 器 : 124.16.8.100/24 PC2: 172.16.2.200/24 


管理 机 : 10.0.0.44/24 
(以 实际 下 地 址 为 准 ) 


图 4-36 登录 虚拟 机 
(2) 双击 该 虚拟 机 PC1 桌面 的 火狐 浏览 器 快捷 图 标 , 如 图 4-37 所 示 。 


4-37 运行 火狐 浏览 器 
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(3) 在 地 址 栏 中 输入 ge2 口 连接 的 Web 服务 器 IP 地 址 “124. 16. 8. 100”, 浏 览 器 可 正 
常 访问 该 网 站 ,如 图 4-38 所 示 。 


GIF © ||Q #5 
欢迎 来 到 卫士 人 才 系 统 ! [可 妮 [免费 注册 ] sr 


内 So 
EGG 


当前 位 置 : 网 站 首页 
| 搜索 职位 企业 总 数 : 0 有 效 职位 : 0 有 效 简历 : 0 会 员 总 数 : 0 
司 名 竺 长 、 学 校 等 关键 字 搜 职位 最 近 更 新 职位 。 写字 楼 省 索 职位 
热门 关键 字 : 销售 代表 销售 经 理 会 计 销售 工程 岳 销售 | 道 区 索取 位。 按 标 和 省 家 职位 
| BF 让 吉 了 和 的 简历 ?马上 全 妓 查 看 ”本 周 热点 职位 更 


图 4-38 访问 Web 服务 器 


(4) 综 上 所 述 , 认 证 用 户主 机 可 以 正常 浏览 Web 服务 器 ,满足 预期 要 求 。 
2) 未 认证 用 户 访问 网 站 
(1) 登录 实验 平台 中 实验 拓扑 右 下 侧 的 虚拟 机 ,该 虚拟 机 的 IP 地 址 为 "172. 16. 2. 200/ 
24”, 按 照 前 述 步骤 ,该 机 为 非 认证 用 户 ,使 用 该 虚拟 机 访问 网 站 ,如 图 4-39 所 示 。 
PC1: 172.16.2.100/24 


ge2: 124.16.8.1/24 


Web 服 务 器 : 124.16.8.100/24 


PC2: 172.16.2.200/24 


管理 机 : 10.0.0.44/24 
(以 实际 IP 地 址 为 准 ) 


图 4-39 登录 虚拟 机 
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(2) 双击 该 虚拟 机 PC2 桌面 的 火狐 浏览 器 快捷 图 标 , 如 图 4-40 所 示 。 


图 4-40 运行 火狐 浏览 器 


(3) 在 地 址 栏 中 输入 ge2 口 连接 的 Web 服务 器 IP 地 址 为 “124. 16. 8. 100”, 由 于 该 
IP 地 址 为 非 认证 用 户 ,防火 墙 会 跳 转 到 Web 认证 页 面 , 如 图 4-41 所 示 。 


© | iT2.18 2. 1:65080/1ogin hn 


新 一 代 智慧 防火 墙 


4-41 访问 Web 服务 器 


(4) 在 该 页 面 中 ,需要 输入 创建 认证 用 户 时 建立 的 用 户 名 和 密码 : cert 和 123456, 通 
过 防火 墙 的 Web 认证 才 可 访问 网 站 ,如 图 4-42 所 示 。 

(5) 单 击 “ 登 录 ” 按 钮 ,通过 Web 认证 后 ,会 显示 认证 成 功 信息 ,并 在 浏览 器 上 方 弹出 
一 个 拦截 提示 ,如 图 4-43 所 示 。 

(6) 单 击 拦截 提示 右 侧 的 “选项 ”, 在 弹出 的 菜单 中 选择 “允许 172. 16. 2. 1 弹出 窗 
口 ”, 如 图 4-44 所 示 。 

(7) 在 弹出 的 新 标签 页 中 ,显示 “124. 16. 8. 100” 网 站 内 容 , 如 图 4-45 所 示 。 

(8) 综 上 所 述 , 非 认证 用 户主 机 只 有 通过 Web 认证 页 面 输入 认证 用 户 的 用 户 名 和 密 
码 才 可 以 正常 浏览 Web 服务 器 ,满足 预期 要 求 。 
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图 4-42 输入 认证 用 户 名 和 密码 


ET 
(@) Orz sz Les ET oo JT ] 会 | 自 最 全 
图 Firetox 阻止 了 此 网 站 婵 出 1 个 窗口 。 x 


新 一 代 智 慧 防火 墙 


图 4-43 ”Web 认证 成 功 


国 Firefox 阻止 了 此 网 站 弹出 1 个 窗口 。 


当 弹 出 式 窗口 示 此 消息 四 ) 


显示 “htt2:/f124.16.8. 400/” 


图 4-44 允许 弹出 窗口 
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国 骑士 Ple 高 主人 才 系 统 bww… Xx 


CG ||Q 搜索 


i) © |124.16.8.100 


欢迎 来 到 骑士 人 才 系 统 ! [登录 ] 。 [免费 注册 ] 保存 到 桌面 


安 gzomx 


招聘 信息 。“ 微 招聘 。 ”求职 信息 。 了 工 具 箱 ”新 闻 资 讯 。 会 员 中 心 。 进入 论坛 


当前 位 得: 网 站 首页 


搜索 职位 企业 总 硕 : 0 ”有 效 职 位 ， 0 ”有 效 简历 : 0 ”会员 总 故 ; 0 
请 输入 职位 和 名称、 公司 各 称 、 技 电 近 更 新 职位 。 写字 楼 搜索 职位 

热门 关键 字 ， 销售 代表 销售 经 理 会 计 销售 工程 师 销售 助理 道路 搜索 职位 。“ 按 标 怎 搜索 职位 

最 新 下 载 简 历 谁 下 载 了 我 的 简历 ? 马上 登录 查看 ”本 周 热 点 职位 更 多 


图 4-45 正常 访问 Web 服务 器 


【实验 思考 】 

(1) Web 认证 中 的 重 定向 URL 子 选项 与 安全 认证 中 的 URL 重 定向 选项 之 间 有 何 
区 别 ? 

(2) 如 果 安 全 策略 与 认证 策略 均 进 行 了 设置 ,在 防火 墙 实际 执行 时 优先 执行 哪 一 个 
安全 策略 ? 

4.1.2 防火墙 CA 中 心 配置 实验 

【实验 目的 】 

通过 CA 中 心 配置 ,便于 设置 防火 墙 涉及 证 书 的 配置 和 应 用 。 

【知识 点 】 

CA ,证书 、 公 钥 、 私 钥 。 

【实验 场景 】 


A 公司 安全 运 维 工程 师 需 要 使 用 认证 服务 对 内 网 用 户 访问 网 络 进行 Web 认证 ,由 于 
Web 认证 功能 需要 使 用 可 信 CA 证 书 进 行 认证 ,刚好 安全 运 维 工 程 师 手 里 的 防火 墙 可 以 
配置 CA 中 心 ,实现 证 书 的 颁发 和 管理 。 请 思考 应 如 何在 防火 墙 上 配置 CA。 

【实验 原理 】 

CA 中 心 可 以 利用 自 签发 将 防火 墙 设置 为 本 地 CA 中 心 , 也 可 通过 导入 第 三 方 CA 证 
书 文件 、 私 钥 文 件 、 颁 发 机 构 证 书 等 将 CA 中 心 设置 为 第 三 方 。CA 中 心 可 以 实现 一 般 证 
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书 的 颁发 ,以 及 对 证 书 请 求 的 审批 ,通过 证 书 的 管理 ,可 以 用 于 对 防火 墙 VPN SSL 解密 、 
认证 服务 等 功能 。 
【实验 设备 】 
。 安全 设备 : 防火 墙 设备 1 台 。 
。 主机 终端 Windows 7 主机 1 台 ,Windows XP 主机 1 台 。 


【实验 拓扑 】 
实验 拓扑 如 图 4-46 所 示 。 


ge2: 172.16.1.1/24 gel: 10.0.0.1/24 


PC1: 172.16.1.100/24 管理 机 : 10.0.0.44/24 
(以 实际 下 地 址 为 准 ) 


图 4-46 ”防火墙 CA 中 心 配置 实验 


【实验 思路 】 

(1) 配置 防火 墙 网 络 接口 地 址 。 

(2) 进入 CA 中 心 ,生成 自 签发 CA , 设 定 防 火 墙 成 为 本 地 CA。 

(3) 在 CA 中 心 生成 一 般 证 书 , 并 能 够 导出 PEM、DER、PKCS12 格式 证 书 。 
(4) 用 户 提 交 已 有 证 书 申请 文件 。 

(5) CA 中 心 对 证 书 请 求 文件 进行 审批 ,并 导出 审批 后 的 证 书 。 


【实验 要 点 】 
下 一 代 防 火 墙 管 理 员 在 防火 墙 的 “系统 配置 ">“CA 中 心中 ,可 以 设置 CA 中 心 ,对 
本 地 申请 的 证 书 进行 审批 和 管理 。 


【实验 步 又】 

(1) 一 (3) 登录 并 管理 防火 墙 ,检查 防火 墙 的 工作 状态 。 

(4) 单 击 面板 上 方 导航 栏 中 的 “网 络 配 置 ”, 单 击 ge2 右 侧 “操作 ”中 的 笔 形 标志 ,编辑 
ge2 接口 设置 。 

(5) 在 “编辑 物理 接口 "界面 中 ,将 工作 模式 设 定 为 “路 由 模式 ”, 单 击 本 地 地 址 列表 中 
的 IPv4 标签 列表 中 的 “十 添加 ”按钮 。 如 果 已 有 IP 地 址 设置 , 则 单 击 IP 地 址 右 侧 “操作 ” 
的 笔 形 标 志 , 视 具体 情况 决定 。 

(6) 在 “添加 IPv4 本 地 地 址 ”中 ,输入 本 实验 设 定 的 IP 地 址 为 *172. 16. 1. 1”, 该 地 址 
用 于 与 实验 虚拟 机 通信 ,输入 “ 子 网 掩 码 ” 为 “255. 255. 255. 0”, 类 型 默认 为 float, 如 
图 4-47 所 示 。 

(7) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 ,在 下 方 的 “管理 方式 ”中 , 勾 选 
HTTPS ping 和 HTTP 三 个 复 选 框 ,表明 ge2 端口 允许 开启 这 三 种 管理 方式 ,便于 后 续 
实验 连接 时 使 用 ,如 图 4-48 所 示 。 
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172.16.1.1 


255.255.255.0 


float 


图 4-47 添加 IPv4 本 地 地 址 


编辑 物理 接口 
HA 组 |0 ~ 四 
本 地 地 址 列表 IPv4 Ipv6 
@ 静态 地 址 O 〇 DHcp 
十 添加 ] (OD me 
本 地 地 址 了 上 E23 据 作 | 
172.16.1.1 255.255.255.0 float Ed 
共 1 条 
0-512 项 
管理 方式 ”四 HTTPS SSH Telnet [Ylping 回 Hrmp SNMP 


(8) 单 击 “系统 配置 ?菜单 下 的 “管理 主机 ,然后 取消 选中 * 启 用” 复 选 框 ,如 图 4-49 


所 示 。 


“编辑 物理 接口 "界面 


图 4-48 


(9) 单 击 上 方 菜 单 栏 中 “系统 配置 ”, 显 示 系 统 配置 界面 ,如 图 4-50 所 示 。 


(10) 单 击 左 侧 菜单 栏 中 的 最 下 方 箭头 ,在 弹出 的 菜单 中 选择 “CA 中 心 ”, 如 图 4-51 


所 示 。 


(11) 单 击 “CA 中 心 ” 后 ,在 弹出 的 子 菜单 中 选择 “本 地 CA”, 如 图 4-52 所 示 。 


(12) 单 击 “本 地 CA” 后 ,会 出 现 “ 生 成 自 签发 CA” 和 “导入 第 三 方 CA” 两 个 按钮 。 
本 地 CA 是 PKI 系统 中 的 核心 ,是 防火 墙 中 一 切 证 书 来 源 。 本 地 CA 支持 第 三 方 导入 、 
自 签发 以 及 根 证 书 的 导入 导出 ,吊销 类 表 (CRL) 的 导出 等 操作 。“ 生 成 自 签发 CA” 即 
使 得 防火 墙 设备 成 为 CA 中 心 ,“ 导 入 第 三 方 CA” 是 使 用 第 三 方 机 构 CA 中 心 成 为 CA 


中 心 。 
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图 4-49 开启 管理 方式 


Ce | 好 证。 | 入 管理。 去 忆 年。 去 和 户 
A wean < 
waz i Tp 
Sam CD CD 
四 WA 
时 间 
日 里 < 
ee MeaM 。 [201680413304650 MT 与 二 相间 瞩 
B ER < 时 间 |2018-04-1320:48:32 
爸 i 有 WE 2 
A Ra < Ce Ce) 
人 DNS 
前 迁 DNS 般 务 括 4.114.114.114 
备 先 DNS 般 务 括 B888 
条 秸 DNS 各 务 扩 


图 4-50 系统 配置 界面 


(13) 本 实验 使 用 防火 墙 设备 作为 CA 中 心 , 单 击 “ 生 成 自 签发 CA” 按 钮 ,显示 生成 自 
签发 CA 界面 ,如 图 4-53 所 示 。 
(14) 界面 中 显示 CA 中 心 相 关 信 息 的 描述 。 
。 国家: CA 中 心 的 国家 信息 描述 , 需 输入 两 个 代表 国家 的 字母 ,例如 输入 CNCCN 
代表 中 国 ) ,此 为 必 填 项 。 
。 省 份 : CA 中 心 的 省 份 信息 描述 , 选 填 项 。 
。 城市 : CA 中 心 的 城市 信息 描述 , 选 填 项 。 
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加 cape Ww 
本 地 CA 
一 般 证 书 
证 书 审批 
图 4-51 单 击 ^CA 中 心 ” 图 4-52 单 击 “ 本 地 CA” 
生成 自 签发 CA x 
国家 “| CN * C2 字母 如 CN) 
理 份 (0-63 字 知 
城市 (0-63 字 知 ) 
公司 10-63 字 夭 ) 
部 站 (0-63 亨 稳 
通用 名 称 * (1-63 字 稳 ) 
节 箱 地 址 (0-63 字 符 如 a@testcom) 
有 效 日 期 ”| 3650 (30-18250 姑 


4-53 生成 自 签发 CA 界面 
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公司 : CA 中 心 的 公司 信息 描述 , 选 填 项 。 
部 门 : CA 中 心 部 门 信息 描述 , 选 填 项 。 
通用 名 称 : CA 中 心 的 名 称 , 必 填 项 。 
邮箱 地 址 : CA 中 心 的 联系 邮箱 , 选 填 项 。 
有 效 日 期 : CA 中 心 证 书 的 有 效 期 ,范围 为 30 一 18250 天 。 
公 钥 算法 : 指定 CA 公 钥 、 私 钥 对 使 用 的 算法 ,可 选择 RSA-1024 或 RSA-2048 
两 种 方式 的 非 对 称 密码 算法 。 公 钥 、 私 钥 是 密码 算法 中 的 专业 名 词 ,CA 中 心 采 
用 的 均 为 非 对 称 密码 算法 。 公 和 钥 在 认证 用 户 之 间 传 输 数 据 加 密 、 验 证 时 使 用 ， 
可 以 公开 ; 私 钥 在 用 户 自身 接收 数据 解密 、 签 名 时 使 用 ,不 能 公开 。RSA-1024 
和 RSA-2048 后 的 数字 是 指 密 钥 的 长 度 ,单位 为 bit, 密 钥 长 度 越 长 ,其 安全 性 
越 高 。 

(15) 在 CA 中 心 描述 中 ,国家 和 通用 名 称 为 必 填 项 ,在 此 输入 CN 和 360CA, 有 效 日 
期 为 默认 值 (3650) , 公 钥 算法 选择 RSA-2048 ,其 他 信息 可 自行 添加 ,如 图 4-54 所 示 。 


生成 自 签发 CA x 


国家 |CN * (2 字母 如 CN) 
省 份 ”| Beijing (0-63 字 竺 ) 
城市 | Beijing (0-63 字 禄 ) 
公司 |360 (0-63 字 夭 ) 
部 门 “| security (0-63 字 禄 ) 
通用 名 称 。 | 360CA * (1-63 字 初 
邮箱 地 址 (0-63 字 符 如 a@test.com) 
有 效 日 期 ”| 3650 (30-18250 姨 ] 
公 胃 篇 法 | RSA-2048 


图 4-54 输入 CA 中 心 信息 


【实验 预期 

(1) CA 中 心 完成 自 签发 CA 。 

(2) 通过 本 地 CA 签发 一 般 证 书 ,并 能 导出 PEM、DER、P12 格式 的 一 般 证 书 。 

(3) 证 书 文件 在 内 网 用 户 可 以 导入 成 功 ,并 可 查看 证 书信 息 。 

(4) 导入 已 有 的 证 书 请 求 文件 ,并 对 请 求 文件 进行 审批 ,可 导出 审批 后 的 证 书 文 件 。 


【实验 结果 】 

1) 生成 本 地 CA 

(1) 输入 CA 中 心 信息 后 , 单 击 “确定 ?按钮 ,防火 墙 设备 会 生成 证 书 并 显示 在 “本 地 
CA” 中 ,表明 本 地 CA 创建 完成 证 书信 息 , 如 图 4-55 所 示 。 

(2) 本 地 CA 中 心 生 成 后 ,会 自动 产生 CRL 信息 。CRL 是 证 书 吊销 列表 ,用 于 列 出 
被 认为 不 能 再 使 用 的 证 书 序列 号 。 证 书本 身 是 标明 有 效 期 的 ,CA 中 心 可 以 通过 证 书 吊 
销 的 过 程 来 缩短 证 书 的 有 效 期 ,从 而 实现 证 书 的 管理 。CRL 信息 如 图 4-56 所 示 。 
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本 地 CA CRL 


版 本 V3 
序列 号 。 CA165E75947BBEA6 
证 书 主题 ”C=CN, ST=Beijing, L=Beijing, O=360, OU=security CN=360CA 
颁发 者 ”C=CN, ST=Beijing, L=Beijing, O=360, OU=security CN=360CA 
签发 时 间 。 2017-09-06 18:13:11 
过 期 时 间 2027-09-04 18:13:11 
签名 算法 。 sha256WithRSAEncryption 
MD5 描 纹 值 。 A5:DD:69:E2:79:4F-4F:EA:B7:23:1D:6F:4C:BB:7C:5E 
SHA1 指 纹 值 13:08:C9:3D:22:91:76:44:8C:0F:88:10:FB:F1:E7:11:E7:61:8A:A5 
导出 PEM 梦 式 。 导出 DER 格式 


[smescA |] [=Aca |] 


图 4-55 本 地 CA 证 书信 息 


本 地 CA CRL 


版 本 V1 
颁发 者 ”C=CN, ST=Beijing, L=Beijing, 0=360, OU=security CN=360CA 
生效 时 间 2017-09-06 18:13:11 
下 次 更 新 时 间 。 2017-10-06 18:13:11 
签名 算法 。 sha256WithRSAEncryption 
已 局 销 证 书 人 数 0 
吊销 证 书 详 情 。 导出 PEM 格 式 。 导出 DER 柯 式 


图 4-56 CRL 信息 


(3) 综 上 所 述 ,通过 生成 自 签发 CA 实现 本 地 CA 的 配置 ,满足 预期 要 求 。 

2) 生成 一 般 证 书 

(1) 一 般 证 书 是 通过 本 地 CA 签发 或 者 审批 而 生成 的 证 书 , 其 密 钥 长 度 支持 1024 或 
2048, 支 持 PEM、DER、P12 证 书 格式 的 导出 。 单 击 左 侧 子 
菜单 中 的 “一 般 证 书 ”, 如 图 4-57 所 示 。 

(2) 单 击 “ 一 般 证 书 ” 后 ,在 一 般 证 书 的 界面 中 ,会 显示 
一 般 证 书 的 名 称 、 证 书 主题 ,签发 时 间 、 过 期 时 间 、 类 型 等 信 
息 。 在 本 实验 中 由 于 还 没有 一 般 证书 , 因 此 需要 创建 一 般 
证 书 , 单 击 “ 十 生成 一 般 证 书 ” 按 钮 ,如 图 4-58 所 示 。 

(3) 在 “生成 一 般 证 书 ” 界 面 ,需要 输入 的 内 容 与 创建 本 图 4-57 单 击 “ 一 般 证 书 ” 
地 CA 时 的 参数 说 明 相同 。 

。 国家 : CA 中 心 的 国家 信息 描述 , 需 输入 两 个 代表 国家 的 字母 ,例如 输入 CNCCN 

代表 中 国 ) ,此 为 必 填 项 。 
。 省 份 : CA 中 心 的 省 份 信息 描述 , 选 填 项 。 
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图 4-58 单 击 “ 十 生成 一 般 证 书 ” 按 钮 


。 城市: CA 中 心 的 城市 信息 描述 , 选 填 项 。 

。 公司 : CA 中 心 的 公司 信息 描述 , 选 填 项 。 

。 部 门 : CA 中 心 部 门 信息 描述 , 选 填 项 。 

。 通用 名 称 : CA 中 心 的 名 称 , 必 填 项 。 

。 邮箱 地 址 : CA 中 心 的 联系 邮箱 , 选 填 项 。 

。 有 效 日 期 : CA 中 心 证 书 的 有 效 期 ,范围 为 30 一 18250 天 。 

公 钥 算法 : 指定 CA 公 钥 、 私 钥 对 使 用 的 算法 ,可 选择 RSA-1024 或 RSA-2048 两 
种 方式 的 非 对 称 密码 算法 。 

(4) 在 一 般 证 书 中 输入 证 书 相关 信息 , 单 击 “确定 ”按钮 ,如 图 4-59 所 示 。 


生成 一 般 证 蔬 加 

国家 |CN * C 字 母 如 CN) 
音 份 ”| Beijing (0-63 字 夭 ) 
城市 ”| Beijing (0-63 字 知 ) 
公司 |360 (0-63 字 初 
部 门 “| market {0-63 字 初 

通用 名 称 。 | 360market * (1-63 字 禄 ) 

邮箱 地 址 (3-63 字 符 .如 a@test.com) 

有 效 日 期 ”| 180 (30-18250 为 ) 


4-59 生成 一 般 证 书信 息 


(5) 生成 一 般 证 书后 ,在 一 般 证 书 的 列表 中 ,可 以 查看 该 证 书 的 相关 信息 ,如 图 4-60 
所 示 。 


4-60 一 般 证 书 列表 


(6) 将 鼠标 指针 放置 在 该 证 书 的 “类 型 "图 标 上 方 , 会 显示 该 证 书 是 由 本 地 生成 的 证 
书 , 表 明 本 地 CA 签发 一 般 证 书 成 功 ,如 图 4-61 所 示 。 
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| 签发 时 间 | 过 期 时 间 | 类 于 
2017-09-06 22:15:10 2018-03-05 22:15:10 四 


E33 


图 4-61 本 地 生成 一 般 证 书 


(7) 在 该 证 书 右 侧 的 “操作 ?一 栏 中 ,分 别 查 看 .导出 .吊销 该 证 书 , 如 图 4-62 所 示 。 
E23 | 操作 | 
加 所 翌 慨 


图 4-62 证 书 操作 按钮 


(8) 单 击 “操作 ?中 的 查看 按钮 ,可 查看 该 证 书 的 详细 信息 ,如 图 4-63 所 示 。 


查看 详情 x 
名 称 360market 
版 本 V3 


序列 号 CA165E75947BBEA7 
证 书 主题 ”C=CN, ST=Beijing, L=Beijing, O=360, OU=market CN=360market 
颁发 者。 C=CN, ST=Beijing, L=Beijing, O=360, OU=security, CN=360CA 
签发 时 间 。 2017-09-06 22:15:10 
过 MBBj 间 2018-03-05 22:15:10 
签名 算法 。 sha256WithRSAEncryptio 
n 
MD5 指 纹 值 F1:61:B8:2E:6B:77:2D:C2:3D:8D:FD:66:99:33-A3:9F 
SHA1 指 纹 值 。 9A:6E:12:4A-AE:63:CA:34:57:76:0E:OE:68:50:D7:86:B5:56:9A:35 


图 4-63 证 书 详细 信息 


(9) 在 证 书 的 详细 信息 中 可 以 看 到 证 书 的 颁发 者 是 360CA. 即 本 地 CA, 签 名 使 用 的 
算法 是 sha256WithRSAEncryption ,表明 使 用 的 是 RSA 加 密 、SHA 签名 。SHA 安全 散 
列 算 法 是 一 系列 密码 散 列 函 数 的 总 称 ,包括 SHA-1、SHA-224、SHA-256、SHA-384 和 
SHA-512 等 变 体 ,以 SHA-1 为 例 ,对 于 长 度 小 于 2* 位 的 消息 ,SHA1 会 产生 一 个 160 位 
的 消息 摘要 。 当 接收 到 消息 的 时 候 , 这 个 消息 摘要 可 以 用 来 验证 数据 的 完整 性 。 如 果 在 
传输 的 过 程 中 ,数据 发 生变 化 ,那么 对 数据 进行 签名 验证 时 ,其 生成 的 消息 摘要 和 携带 的 
消息 摘要 就 会 不 同 , 从 而 表明 数据 已 发 生 改变 ,不 可 采信 。 

(10) 单 击 “ 关 闭 " 按 钮 ,再 单 击 该 证 书 的 导出 按钮 .如 图 4-64 所 示 。 

(11) 单 击 导 出 按钮 后 ,在 导出 证 书 界面 显示 十 TAN 
导出 证 书 的 名 称 ,已 经 导出 的 证 书 格式 , 可 在 加 om 
PEM、DER、PKCS12 格式 中 选择 。PEM 是 采用 
ASCIICBASE64) 编码 的 X. 509 V3 证 书 格式 .证 


图 4-64 单 击 证 书 导出 按钮 
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书 中 不 包含 私 钥 信 息 ;DER 是 采用 二 进 制 编码 的 证 书 格式 ,DER 编码 二 进 制 格式 的 证 书 
文件 ,证 书 中 不 包含 私 钥 信 息 ;PKCS12 是 带 有 私 钥 的 证 书 ,是 包含 了 公 钥 和 私 钥 的 二 进 
制 格式 证 书 , 如 图 4-65 所 示 。 


导出 证 书 


证 书 名 称 | 360market 


图 4-65 导出 证 书 选项 


(12) 选择 PEM 格式 , 单 击 “ 导 出 "按钮 ,将 证 书 保存 在 桌面 ,如 图 4-66 所 示 。 
(13) 双击 打开 该 证 书 , 在 证 书 的 常规 标签 页 中 ,显示 该 证 书 的 基本 信息 ,如 证 书 持 有 
者 是 360market ,颁发 者 是 360CA ,证 书 有 效 期 等 相关 信息 ,如 图 4-67 所 示 。 


冤 规 。 详细 信息 证 书 路 径 


车 | a 


Windows 没有 足够 信息 ,不 能 验证 该 证 书 . 


有 效 期 从 2017/9/6 到 2018/3/5 


[seo | WE 


图 4-66 导出 证 书 图 4-67 证 书 常规 信息 


(14) 在 证 书 的 “详细 信息 ?标签 页 中 ,可 看 到 证 书 的 详细 信息 ,例如 签名 算法 有效 
期 、 使 用 者 、 颁 发 者 . 公 钥 信息 等 内 容 , 如 图 4-68 所 示 。 
(15) 返回 防火 墙 设备 “一 般 证 书 界 面 , 继 续 单 击 “操作 ”中 的 “导出 ”, 此 时 选择 DER 
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字段 值 A 
国 版 本 v3 

国 放 HS 00ca165e75947b be a7 

国 答 名 项 去 sha256RSA 

国 答 名 哈 希 算法 sha256 

国 & 者 360CA security, 360, Bejing, Bej- 
国有 改期 从 2017 年 9 月 6 日 22:15:10 

国 到 2018 年 3 月 5 日 2215:10 

国 使 用 者 360market market 360, Bejing ~- 
EC nra Mnsn Ney 


图 4-68 证 书 文件 详细 信息 


格式 , 单 击 * 导 出 ?按钮 ,如 图 4-69 所 示 。 


导出 证 书 


证 书 名 称 


360market 


DER 


图 4-69 导出 DER 格式 证 书 


(16) 将 证 书 保存 至 桌面 ,双击 该 证 书 , 可 查看 证 书 相关 信息 ,与 PEM 格式 证 书 内 容 
相同 ,如 图 4-70 所 示 。 

(17) 返回 防火 墙 设备 “一 般 证 书 ” 界 面 ,继续 单 击 “ 操 作 ” 中 的 “导出 ”, 此 时 选择 
PKCS12 格式 ,由 于 PKCS12 格式 中 是 包含 私 钥 信息 的 ,因此 在 导出 时 需要 设置 私 钥 保 护 
密码 ,以 保障 证 书 导 出 后 的 私 钥 安全 ,在 本 实验 中 以 123456 为 例 作为 私 钥 保护 密码 。 实 
际 应 用 中 应 设置 高 强度 密码 , 单 击 * 导 出 ?按钮 ,如 图 4-71 所 示 。 

(18) 将 证 书 保存 至 桌面 。 

(19) 综 上 所 述 , 防 火 墙 设备 通过 配置 生成 一 般 证 书 ,并 可 导出 PEM、DER、PKCS12 
格式 的 证 书 文件 ,满足 预期 要 求 。 

3) 用 户 导 入 证 书 

(1) PKCS12 格式 证 书 与 PEM、DER 格式 证 书 是 有 区 别 的 : 双击 PKCS12 证 书 , 会 
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2018 年 3 月 5 22:15:10 
360market market 360, ~ 
RSA (2048 Bits) 

05 00 

10 3c b2 04 a4 18 40 ee 
Certificate lssuer Directo 
shal 

9a 6e 12 4a ae 63 ca 34 5 
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4-70 DER 格式 证 书 详细 信息 


证 书 名 称 | 360market (cen 


图 4-71 导出 PKCS12 格式 证 书 
直接 进入 “证 书 导入 向 导 ”, 如 图 4-72 和 图 4-73 所 示 。 


图 4-72 PKCS12 格式 证 书 
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€ 易 证 8S 和 NS 


欢迎 使 用 证 书 导 入 向 导 


该 向 导 可 帮助 你 格 证 书 、 证 书信 任 列 表 和 证 书 吊 销 列表 从 磁盘 复制 到 证 书 存储 。 


图 4-73 证 书 导 人 向 导 界面 


(2) 默认 选择 “当前 用 户 ”, 单 击 “ 下 一 步 ”按钮 ,显示 当前 导入 的 PKCS12 格式 证 书 的 
路 径 ( 以 计算 机 实际 存储 路 径 为 准 ) ,如 图 4-74 所 示 。 


€ 易 证 $8S 和 AS 


要 导入 的 文件 
指定 要 导入 的 文件 。 


文件 名 (了 
CAUsers\Desktop\360market.pfx 区 


注意 : 用 下 列 格式 可 以 在 一 个 文件 中 存储 多 个 证 书 : 


个 人 信息 交换 - PKCS #12 (.PFX.P12) 
加 这 消息 语法 标准 - PKCS #7 证 书 (.P7B) 
Microsoft 系列 证 书 存储 (SST) 


图 4-74 选择 导入 的 证 书 文件 


(3) 单 击 “下 一 步 ?按钮 ,会 要 求 输入 密码 ,该 密码 即 为 在 防火 墙 设 备 导 出 PKCS12 格 
式 证 书 时 设置 的 密码 ,在 本 实验 中 为 123456 ,如 图 4-75 所 示 。 
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口 昱 示 赦 码 (D) 
导入 选项 (1): 
口 启 用 强 私 钥 保 护 (E)。 如 果 启用 这 个 选项 ,每 次 应 用 程序 使 用 私 钥 时 ， 你 都 会 收 到 提 
示 


口 标志 此 密 钥 为 可 导出 的 密 钥 (M)。 这 格 允 许 你 在 稍 后 备份 或 传输 富 泪 . 


回 包 括 所 有 扩展 尾 性 (A). 


图 4-75 输入 私 钥 保护 密码 


(4) 单 击 “下 一 步 ” 按 钮 ,选中 上 默认 选项 “根据 证 书 类 型 ,自动 选择 证 书 存 储 (U)”, 如 
图 4-76 所 示 。 


所 易 证 8S 和 NS 


图 根据 证 书 类 型 ， 自动 选择 证 书 存储 (U) 
〇 梅 所 有 的 证 书 都 放 入 下 列 存储 (P) 
证 书 存储 : 


[CE ][ 3 | 
图 4-76 ”选择 证 书 存储 位 置 


223 


FE 防火 墙 技术 及 应 用 实验 指导 ms 


(5) 单 击 “ 下 一 步 "按钮 ,显示 证 书 安装 的 相关 信息 ,如 图 4-77 所 示 。 


¢ PissSNS 


正在 完成 证 书 导入 向 导 


单 击 " 完 成 "后 格 导入 证 书 . 


图 4-77 完成 证 书 向 导 


(6) 单 击 “ 完 成 ”按钮 ,显示 证 书 导入 成 功 ,如 图 4-78 所 示 。 

(7) 证 书 导出 可 用 于 VPN、 防 火 墙 设备 认证 ,Web 认证 等 方 
面 ,参考 相关 实验 ,学 习 配 置 方法 。 

(8) 综 上 所 述 ,以 导出 的 PKCS12 格式 证 书 为 例 , 用 户 可 以 将 
证 书 导入 本 地 计算 机 ,满足 预期 要 求 。 

4) 证 书 审批 

(1) 进入 左 侧 虚拟 机 PC1, 如 图 4-79 所 示 , 打 开 实 验 虚拟 机 
中 的 谷歌 浏览 器 ,在 地 址 栏 中 输入 “172. 16. 1. 1”, 登 录 防 火 墙 ,进入 “系统 配置 ”一 “CA 中 
心 ”>“ 证 书 审批 "中 ,如 图 4-80 所 示 。 


图 4-78 成 功 导入 证 书 


ge2: 172.16.1.1/24 


PC1: 172.16.1.100/24 管理 机 : 10.0.0.44/24 
(以 实际 人 P 地 址 为 准 ) 


加 ca v 
本 地 CA 
一 般 证 书 
证 世 南 摔 Pi 


4-80 进入 证 书 审批 
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(2) 在 “证 书 审批 "中 ,需要 导入 证 书 请 求 文件 ,可 进入 “系统 配置 >“ 证书 管 理 ” 一 
“请 求 文件 ”中 生成 请 求 文 件 , 可 参考 防火 墙 证 书 管理 类 别 实验 。 在 本 实验 中 使 用 预先 生 
成 的 请 求 文件 , 保存 位 置 在 系统 桌面 中 , 单 击 * 证 书 审批 ?界面 中 的 “ 导 和 ”按钮 ,如 
图 4-81 所 示 。 


图 4-81 “证 书 ” 审 批 界面 
(3) 在 “导入 ”界面 中 ,输入 请 求证 书 名称 , 并 选择 证 书 请 求 文件 后 , 单 击 “ 确 定 ” 按 钮 ， 
如 图 4-82 所 示 。 
四 


360test (1-63 宇 符 ,例如 text-1_Y1.0 bt) 


i EE 


图 4-82 导入 证 书 请 求 文件 


(4) 导入 证 书 请 求 文件 后 ,在 “证 书 审 批 " 界 面 中 ,会 显示 该 请 求证 书 的 信息 ,如 
图 4-83 所 示 。 


证 书 审批 
Ds ] [ 口 ms |][Ca ] 
名 称 | 主要 人 和 
口 360test C=CN, CN=360test 


4-83 证 书 请 求 文件 列表 


(5) 单 击 该 证 书 请 求 右 侧 “操作 ”中 的 审批 按钮 ,如 图 4-84 所 示 。 


[Ew [om] [Cw ) Cm 
Da ER 


EE CO Or- moe 


4-84 单 击 “审批 ” 


(6) 在 弹出 的 “证 书 审批 "界面 中 ,输入 证 书 有 效 日 期 ,默认 为 180 天 , 单 击 “ 确 定 ” 按 
钮 ,如 图 4-85 所 示 。 

(7) 请 求证 书 审批 后 ,会 从 “证 书 审批 "中 自动 转换 到 “一 般 证 书 ” 中 ,如 图 4-86 所 示 。 

(8) 请 求证 书 审批 通过 后 转换 为 一 般 证 书 , 可 通过 导出 证 书 功 能 将 该 证 书 下 载 ,安装 
到 计算 机 、 防 火 墙 等 其 他 设备 中 。 


(9) 单 击 “360test" 证 书 右 侧 “操作 ”中 的 “导出 ?按钮 ,如 图 4-87 所 示 。 
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证 书 审批 加 | 


名 称 。 | 360test 
有 效 日 期 ”| 180 * G0-18250 姑 


[w= Nw 


图 4-85 输入 证 书 有 效 期 限 


ee 
[Fs | [Cw EP 局 
图 4-86 ”请 求证 书 审批 后 
DIE CC 
四 ss 本 se | 
Fn Er 一- 一 - Eco CE E 
ee ee 本 te a 2 


图 4-87 单 击 “ 导 出 ” 


(10) 在 “导出 证 书 ” 界 面 中 选择 PEM 格式 , 单 击 “ 导 出 ”按钮 ,如 图 4-88 所 示 。 


导出 证 书 


证 书 名 称 。 | 360test 
证 书 格式 | PEM 


图 4-88 导出 360test 证 书 


(11) 将 证 书 保存 至 桌面 ,并 双击 该 证 书 ,可 查看 证 书 的 相关 信息 ,如 图 4-89、 图 4-90 
和 图 4-91 所 示 。 


乱 天 [阐明 全息] 证 书 路 径 ] 


时 证 书信 息 
Yindors 没有 足 名 信息 ,不 窟 验证 该 证 书 - 


颁发 给 360test 
健 发 者 : 360CA 


有 效 起 始 日 期 2018-4-22 到 2018-10-19 


ET 颈 发 者 说 明 GE) 
Ce 


图 4-89 导出 的 证 书 文件 图 4-90 证 书 的 常规 信息 
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常规 | 详细 信息 | 证 书 路 径 | 
2 未 5) 【CR 


Ls 
加 
00cd2089c077co64df 四 


sha256RSA 
360CA，security, 360, B... 时 
2018 年 4 月 22 日 12:43:50 
2018 年 10 月 19 日 12:43:50 
360test，security，360,..， 国 | 


锯 辑 属性 于 度 制 加 文件 忆 - 


Cj 


图 4-91 证 书 的 详细 信息 


(12) 综 上 所 述 ,通过 导入 证 书 请 求 文件 ,完成 请 求证 书 的 审批 ,并 可 以 将 审批 后 的 证 
书 导出 至 本 地 计算 机 中 ,满足 预期 要 求 。 

【实验 思考 】 

(1) 如 果 CA 中 心 原来 采用 的 是 第 三 方 机 构 CA 中 心 ,现在 需要 调整 为 其 他 第 三 方 机 
构 CA 中 心 ,应 如 何 操 作 ? 

(2) 如 果 现 有 证 书 已 过 期 ,如 何 实 现 证 书 的 更 新 ? 

(3) 本 地 认证 与 CA 证 书 认证 的 区 别 ? 


141723 高 级 部 署 模式 


4.2.1 防火 墙 网 关 HA 主 备 模式 部 署 实 验 


【实验 目的 】 
对 于 单 出 口 , 双 防火 墙 的 网 络 拓扑 ,通过 搭建 HA 主 备 (二 层 ) 模 式 , 实 现 两 台 防 火 墙 
的 主 备 工作 模式 ,配置 内 网 主机 正常 访问 外 网 服务 器 。 


【知识 点 】 
高 可 用 性 、 双 机 热 备 ,静态 路 由 、 源 NAT .安全 策略 。 
【实验 场景 】 


A 公司 的 原 有 信息 系统 包含 一 个 外 网 出 口 和 一 台 防 火 墙 。 随 着 公司 业务 的 发 展 和 
网 络 威胁 的 日 益 增 大 ,防火 墙 可 能 会 被 攻击 或 出 现 故 障 ,影响 公司 业务 ,因此 需要 增加 防 
火 墙 设备 并 将 两 台 防 火 墙 设置 为 主 备 模式 ,确保 主 防火 墙 出 现 问题 时 ,备用 防火 墙 可 随时 
接替 主 防 火 墙 提供 安全 防护 。 安 全 运 维 工程 师 根据 上 述 业 务 需 求 , 需 要 进行 两 台 防 火 墙 
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的 高 可 用 性 配置 ,保证 在 其 中 一 台 防火 墙 发 生 问题 时 可 切换 到 另 一 台 防 火 墙 上 ,并 且 不 影 
响 内 网 用 户 上 网 使 用 。 请 思考 应 如 何 配 置 两 台 防 火 墙 以 实现 主 备 模式 的 相关 设置 。 

【实验 原理 】 

高 可 用 性 主要 用 于 提高 网 络 的 可 靠 性 ,通过 防火 墙 与 防火 墙 设备 之 间 的 宛 余 备份 ,在 
其 中 一 台 防 火 墙 出 现 问题 可 能 导致 业务 中 断 时 , 另 一 台 防 火 墙 可 以 迅速 接替 其 工作 ,而 在 
切换 过 程 中 不 影响 用 户 业务 ,从 而 提高 用 户 网 络 的 整体 可 靠 性 。 防 火 墙 支持 路 由 模式 的 
HA 和 桥 模式 的 HA。 路 由 模式 采用 SGRP 宛 余 备份 协议 ,实现 双 主 的 路 由 负载 均衡 和 
主 备 的 路 由 宛 余 备份 两 种 工作 模式 。 透 明 模式 下 支持 通过 STP 和 PVST 十 的 生成 树 协 
议 完成 桥 模 式 的 HA 完 余 备份 和 快速 切换 。 


【实验 设备 】 

。 安全 设备 : 防火 墙 设备 2 台 。 

。 网 络 设备 : 路 由 器 1 台 , 二 层 交 换 机 2 台 。 

。 主机 终端 : Windows Server 2003 SP2 主机 1 台 ,Windows XP 主机 1 台 ,. Windows 7 
主机 1 台 。 

【实验 拓扑 】 

实验 拓扑 如 图 4-92 所 示 。 


gel: 10.0.1.1/24 


ge2: 110.69.70.2/24 


GW: 110.69.70.1 ge3: 172.16.2.1/24 


= 国 
Web 服 务 器 : 124.16.8.100/24 名 PC1: 172.16.2.100/24 
GW: 124.16.8.1 GW: 172.16.2.1 
ge2: 110.69.70.2/24 ge3: 172.16.2.1/24 
GW: 110.69.70.1 Pe 

gel: 10.0.0.1/24 

管理 机 : 10.0.0.44/24 

(以 实际 IP 地 址 为 准 ) 
4-92 ”防火 墙 网 关 HA 主 备 模式 部 署 实验 拓扑 

【实验 思路 】 


(1) 添加 主 防火 墙 HA 组 设置 。 
(2) 配置 主 防 火 墙 网 络 接口 。 
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(3) 进行 主 防火 墙 地 址 对 象 配置 。 

(4) 配置 主 防火 墙 静态 路 由 。 

(5) 配置 主 防火 墙 源 NAT 策略 和 安全 策略 。 

(6) 启动 主 防火 墙 HA。 

(7) 备 防火 墙 HA 配置 。 

(8) 启动 备 防火 墙 HA, 等 待 与 主 防 火 墙 配置 同步 之 后 ,实现 HA 环境 。 
(9) 设置 HA 接口 监控 。 

(10) 内 网 主机 正常 访问 外 网 网 站 。 

(11) 主 备 防火 墙 自由 切换 ,内 网 主机 可 正常 浏览 网 站 。 


【实验 要 点 】 
选择 相同 型 号 的 防火 墙 ,选择 对 应 的 心跳 接口 。 
【实验 步骤 】 


(1) 一 (3) 登录 并 管理 防火 墙 ,检查 防火 墙 的 工作 状态 。 

(4) 配置 主 防 火 墙 接口 。 在 HA 模式 下 ,需要 将 两 台 防 火 墙 的 管理 IP 类 型 设置 为 
static 模式 ,以 便 使 用 浏览 器 登录 ,管理 防火 墙 。 在 本 实验 中 ,两 台 防 火 墙 的 gel 口 作为 管 
理 IP 接口 ,其 管理 IP 地 址 分 别 为 “10. 0. 0. 1? 和 *10. 0. 1. 1” ,其 "类 型 " 均 须 设置 为 static 
模式 ,如 图 4-93 所 示 。 


添加 IPv4 本 地 地 址 


本 地 地 址 10.0.0.1 | 
子 网 撞 码 。 | 255.255.0.0 


图 4-93 管理 接口 IP 类 型 设置 为 static 


(5) 单 击 上 方 导 航 栏 中 的 “网 络 配置 ”接口 ”, 显 示 防 火 墙 接口 列表 , 单 击 ge2 接口 
一 行 右 侧 “操作 ” 列 中 的 笔 形 图 标 .编辑 ge2 接口 设置 ,如 图 4-94 所 示 。 


a +wm~ |[ Dm |[ Cow E23 EE > 
Ee We | 
dns Dse Inex EAE ras 24 se mn Em 
O01/255 255255 
类 和 sa oo 0 mn 四 目 。 加 7 
be pes 
Av ge Ba 。。 Ta80-21631fdee1a67164 0 本 是 目 区 了 
90 cep Mame e066 0 o 回 “ w 
got Bat feo21e31feetsa0/6+ 0 本 国 国 o i 
ed 上 Bem foarteetse6a/64 1 村 昌 昌 o 四 7 
Fy aes Resmit cpoczl6anfeclaobyee 0 四 四 国 o 中 2 


图 4-94 编辑 ge2 接口 


229 


防火墙 技 术 及 应 用 实验 指导 mm 


(6) 在 本 实验 中 ge2 口 用 于 模拟 连接 外 网 ,ge2 口 IP 设置 为 “110. 69. 70. 2?,*“ 子 网 掩 
码 ” 为 “255. 255. 255. 0”, 后 续 步 又 按照 此 要 求 进行 调整 。 在 弹出 的 “编辑 物理 接口 ?界面 


中 ,将 * 安 全 域 " 设 置 为 untrust, “工作 模式 ”选中 “路 由 模式 ” 单 选 按钮 , 单 击 “ 本 地 地 址 列 
表 ” 一 栏 中 的 IPv4 标签 中 的 “十 添加 ”按钮 ,如 图 4-95 所 示 。 


四 | 


物理 接口 ”四 启用 
名 称 。 | ge2 


00:16:31:e9:79b 活 复 款 认 


MAC 地 址 
直 MAC 地 址 | 00:00:00:10:02:00 

所 述 

安全 域 


(0-127) 人 字符 


工作 模式 。 @ 路 由 模式 。 〇 交接 模式 。 〇 旁 澡 模式 


图 4-95 编辑 物理 接口 


(7) 在 弹出 的 “添加 IPv4 本 地 地 址 ”界面 中 ,在 “本 地 地 址 ”中 输入 *110. 69. 70. 2”, 在 
“ 子 网 掩 码 ” 中 输入 “255. 255. 255.0”,“ 类 型 ” 仍 设置 为 float, 如 图 4-96 所 示 。 


本 地 地 址 ”| 110.69.702 
子 网 挤 码 | 255.255.255.0| 
类 型 ”| float 


图 4-96 设置 ge2 接口 IP 地 址 


(8) 确认 信息 无 误 后 , 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 ,显示 增加 的 地 址 
信息 ,如 图 4-97 所 示 。 


(9) 确认 信息 无 误 后 , 单 击 “确定 ”按钮 ,返回 “接口 "列表 界面 ,显示 ge2 接口 配置 信 
息 , 如 图 4-98 所 示 。 

(10) 继续 编辑 ge3 接口 设置 。ge3 接口 模拟 连接 内 网 ,其 网 段 为 "172. 16. 2.0”, 其 IP 
地 址 为 “172. 16. 2. 1”。 单 击 ge3 接口 一 行 右 侧 “ 操 作 ” 列 中 的 笔 形 标志 ,在 弹出 的 “编辑 物理 


接口 ?界面 中 ,将 “安全 域 ?设置 为 trust,“ 工 作 模式 ”选中 “路 由 模式 ” 单 选 按 钮 , 单 击 “ 本 地 地 
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址 列表 ”一 栏 IPv4 标签 页 的 “十 添加 ”按钮 ,添加 ge3 接口 的 卫 地 址 ,如 图 4-99 所 示 。 


编辑 物理 接口 [| 


物理 接口 ”加 启用 
各 称 |ge2 
MAC 地 址 | 00:16:31:e1:69:6b 恢复 团 认 


虑 MAC 地 址 | 00:00:00:10:02:00 
扬 述 (0-127) 人 字符 


本 地 地 址 | FR | 类 a | me | 
7 


[we ws 
图 4-97 编辑 物理 接口 (已 添加 地 址 信息 
接口 
十 ;En v Dw Cm | 接口 尖 型 
Dg | Irast A HA 组 安全 二 一 了 细 
加 ao Se 昌 日 。 
ge2 WN 0 untrust 国 目 目 1 
ge3 交换 楼 式 access ;vlanl 国 [EE] 国 0 
ge4 交 损 模式。 access :vlanl [E] 国 0 
ge5 交 措 楼 式 。。 access :vlanl 国 国 国 0 
ge6 并 模式。 accessivlanl 国 局 四 0 


图 4-98 ”接口 列表 


(11) 在 弹出 的 “添加 IPv4 本 地 地 址 ?界面 中 ,在 “本 地 地 址 ?中 输入 "172. 16. 2. 1”, 在 
“ 子 网 掩 码 ” 中 输入 “255. 255. 255.0”,“ 类 型 "保留 默认 的 float, 如 图 4-100 所 示 。 

(12) 确认 信息 无 误 后 . 单 击 “ 确 定 ” 按 钮 .返回 “编辑 物理 接口 "界面 ,可 见 ge3 接口 信 
息 ,如 图 4-101 所 示 。 

(13) 确认 信息 无 误 后 , 单 击 “确定 ”按钮 返回 “接口 ”列表 界面 ,可 见 ge2 和 ge3 接口 
配置 信息 ,如 图 4-102 所 示 。 

(14) 配置 地 址 对 象 ,添加 子 网 对 象 。 单 击 上 方 导航 栏 中 的 “对 象 配置 ”一 “地 址 ”一 
“地 址 ”, 显 示 当 前 的 地 址 对 象 列表 ,如 图 4-103 所 示 。 

(15) 在 “地 址 ”界面 中 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 地 址 ”界面 中 ,在 “名 称 ”“IP 
地 址 ”中 均 输 入 “172. 16. 2. 0/24”, 用 于 标识 内 网 段 “172. 16. 2.0”, 如 图 4-104 所 示 。 
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编辑 物理 接口 加 
AnaRD 加 启用 站 
结 [3 
MACiB 址 | 00:16:31:e1:6a:68 恢复 识 认 
声 MAC 地 址 | 00:00:00:10:03:00 
搞 述 (0-127) 个 字符 


172.162.1 


255.255.255.0 
float 


图 4-100 “添加 IPv4 本 地 地 址 ”界面 


MAC 地 址 00:16:31:e1:6a:68 柳 复 吐 认 
虑 MAC 地 址 00:00:00:10:03:00 
搞 述 (Oo-127) 人 字符 
安 2 域 [rust | 
工作 模式 回 第 由 模式 。 〇 交 拉 模式 。 〇 旁 路 模式 
HA 组 |0 ~ 
A IPv4 ipv6 
加 萌 志 地 址 O DHcp 
ram) 
口 本 地 地 址 FB | | me | 
口 7z1621 255.255.255.0 float 


4-101 编辑 ge3 物理 接口 信息 
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E33 到 
wa aa = 加 加 mr 
m a n a 7 
日 et mn 四 国 马 泥 
rt 本 中 加 回 pa 
EL BB 里 加 了 人 


图 4-102 接口 列表 


地 址 
地 址 组 名 称 总 
服务 器 地 址 和 0.000/0, 3/0 
VPN 地 址 池 


图 4-103 ”地址 对象 列表 


名 称 [172.162.0/24 J (1-63 字 符 ) 
| ] onzz 字 和 
ip 地 址 国 “ | 1721620124 ] 


图 4-104 添加 172. 16. 2. 0 子 网 对 象 


(16) 确认 信息 无 误 后 , 单 击 “ 确 定 ” 按 钮 ,返回 “地 址 ”列表 界面 ,显示 添加 的 地 址 对 象 
“172. 16. 2.0/24”, 如 图 4-105 所 示 。 


地 址 
(+m ] (Dm ] (Cm | 


口 多 地 址 
any 0.0.0.0/0, :/0 
LI 172.16.2.0/24 172.16.2.0/24 


图 4-105 地址 对 象 列表 (已 添加 地 址 ) 


(17) 配置 静态 路 由 。 单 击 上 方 导航 栏 中 的 “网 络 配 置 " 一 “路 由 ”一 “静态 路 由 ”, 显 示 
当前 的 静态 路 由 列表 ,如 图 4-106 所 示 。 
(18) 在 “静态 路 由 ”界面 中 , 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 静态 路 由 ”界面 中 ， 
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四 技 D 


i 
名 wan 口 上 gott/ 科 四 Ea Er | 
涨 桥 

@ os 《 
a0 pHcp < 
ER Ap 《 
加 MAC 


矶 中 由 ~ 


静态 路 由 


图 4-106 静态 路 由 列表 
“目的 地 址 / 掩 码 ” 保 留 默 认 的 “0.0.0.0/0.0.0.0”, 将 “类 型 "选中 “网 关 ” 单 选 按钮 ,在 “网 
关 ” 中 输入 ge2 接口 连接 的 路 由 器 IP 地 址 *110. 69. 70. 1”, 其 余 参 数 不 需 设置 ,保留 默认 
值 即 可 ,如 图 4-107 所 示 。 


目的 地 址 / 掩 码 。 | 0.0.0.0/0.0.0.0 
类 型 ”加 网 关 〇 入 0 


网 关 [110.6970.1 
权重 [1 (1-255) 


图 4-107 添加 静态 路 由 


(19) 确认 信息 无 误 后 , 单 击 “ 确 定 ” 按 钮 ,返回 “静态 路 由 ”列表 界面 ,可 见 添加 的 静态 
路 由 信息 ,如 图 4-108 所 示 。 


mam | 

十 四 |[ Dw [Cm ) 
四] RE an lm a i 
口 oaoo oa Se 1 ~ 


图 4-108 静态 路 由 信息 


(20) 配置 源 NAT 策略 。 单 击 上 方 导航 栏 中 的 “策略 配置 ">“NAT 策略 ”, 显 示 当 前 
的 源 NAT 策略 列表 ,如 图 4-109 所 示 。 
(21) 在 弹出 的 “添加 源 NAT ”界面 中 ,在 “名 称 ” 中 输入 “内 网 源 NAT 转换 ”, 在 “转换 前 
匹配 ”一 栏 中 ,“ 源 地 址 类 型 "选中 “地 址 对 象 ” 单 选 按钮 ,将 “ 源 地 址 ”设置 为 *172. 16. 2. 0/ 
24”, 将 “出 接口 ”设置 为 ge2, 其 他 参数 保留 默认 即 可 ;在 “转换 后 匹配 ”一 栏 中 ,“ 地 址 模式 ” 选 
中 “动态 地 址 ” 单 选 按钮 ,“ 类 型 "保留 默认 的 BY_ROUTE, 如 图 4-110 和 图 4-111 所 示 。 
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处 置 中 心 策略 配置 
WY sem 源 NAT 目的 NAT NAT64 
NA [+ 到 ] [DW ] (1 ] [二 潭 eeq 数 ][ C 剧 
国安 全 认证 [ge | 源 地 址 
图 ssL 钥 宇 策略 
图 4-109 源 NAT 策略 列表 
添加 源 NAT 四 
名 称 “| 内 网 源 NAT 转 换 * (1-63 字 禄 ) 
摘 述 (0-127 字 初 
启用 加 
转换 前 匹配 
源 地 址 类 型 。 加 地 址 对 象 〇 ip 地址 
源 地 址 | 172.16.2.0/24 
目的 地 址 类 型 图 地 址 对 象 〇 ip 地 址 
目的 地 址 。 | 请 选择 目的 地 址 
服务 | 请 渤 择 服务 
出 接口 “| ge2 ~ 


图 4-110 添加 源 NAT 策略 (转换 前 匹配 ) 


转换 后 匹配 
地 址 模式 。 加 动态 地 址 


3 型 【By ROUTE 


图 4-111 


添加 源 NAT 策略 (转换 后 匹配 ) 


(22) 确认 信息 无 误 后 , 单 击 “确定 ”按钮 ,返回 “ 源 NAT” 列 表 界 面 ,可 见 添加 的 源 


NAT 策略 信息 ,如 图 4-112 所 示 。 


an 
四 


at 
re 如 


4-112 源 NAT 策略 列表 (已 添加 源 NAT 策略 信息 ) 


(23) 配置 安全 策略 。 单 击 上 方 导航 栏 中 的 “策略 配置 >“ 安全 策略 ”, 显 示 当 前 的 安 


全 策略 列表 ,如 图 4-113 所 示 。 


(24) 在 “安全 策略 ”界面 中 , 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 安全 策略 ”界面 中 ， 


在 “名 称 ” 中 输入 “内 网 访问 外 网 ”将 “ 源 安全 域 " 设 置 为 trust, 将 “目的 安全 域 " 设 置 为 
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untrust, 将 “ 源 地 址 /地 区 ”设置 为 “172. 16. 2. 0/24”, 其 余 参 数 保持 默认 值 即 可 ,如 
图 4-114 所 示 。 


和 策略 配置 对 象 配 置 网 络 配 置 系统 配置 
| 
a [fw] [5 ] (Dw | [lies ] (sem ] [CM ] 
国安 全 认证 《 ; 口 和 浆 过 安全 域 目的 安全 域 一 地 址 /地 区 目的 地 址 /地 区 
图 ssl 解 客 第 略 


图 4-113 ”安全 策略 列表 


加 
名 称 | 内 网 访问 外 网 * (1-63 字 禄 ) 
毛 述 (0-127 字 初 
启用 加 
动 F Ot 许 Ox 〇 安全 连接 ( 民 首 ) 


源 安 全 域 | trust v 
目的 安全 域 | untrust ~ 
源 用 户 。 | 请 选择 源 用 户 
源 地 址 /地 区 | 172.16.2.0/24 
目的 地 址 /地 区 。 | 请 选择 或 栓 入 目的 地 址 /地 区 


服务 | 请 选择 服务 
应 用 。 | 请 选择 应 用 或 应 用 组 
来 自 尾道 。 | 请 选择 和 道 由 
时 间 。 | 请 选择 时 间 于 
VIAN “| 请 给 和 AVLAN 
( 取 值 范围 0-4094 ,格式 : 1,3,5-10,12) 四 


图 4-114 添加 安全 策略 


(25) 确认 信息 无 误 后 , 单 击 “ 确 定 ” 按 钮 ,返回 “安全 策略 ”列表 界面 ,显示 添加 的 安全 
策略 ,如 图 4-115 所 示 。 


em em 

[ram [am ] [Ow | (1m ][ Ah more | [Ca ] ER 

Eee ee ee a Bp Ie a a a lon em 
MHR Gre ont 中 ~ ~ 加 


图 4-115 安全 策略 列表 (已 添加 安全 策略 ) 


(26) 配置 主 防火 墙 HA。 单 击 上 方 导 航 栏 中 的 “系统 配置 ">“ 高 可 用 性 ”, 显 示 高 可 
用 性 参数 配置 , 勾 选 “启用 HA” 配 置 同步 “动态 信息 同步 " 复 选 框 ,将 “HA 通信 接口 ( 心 
跳 口 )” 设 置 为 ge4,“HA 通信 端口 ?保留 默认 的 6260, 在 “本 地 接口 IP” 中 输入 *1.1.1.1”， 
在 “对 端 接口 IP” 中 输入 “1. 1. 1. 2”, 确 认 信 息 无 误 后 , 单 击 “ 确 定 ” 按 钮 ,如 图 4-116 所 示 。 
(27) 单 击 “ 确 定 ” 按 钮 后 ,显示 “执行 成 功 ” 的 提示 界面 ,如 图 4-117 所 示 。 
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NP L112 


一 
[ta] [Cs] 
HASID 。 抢占 模式 。 折 点 廷 时 ( 吵 ) 优先 地 。 当 本 优先 二 泪 告 册 司 ( 示 ) 优 理 VW 转发 状态 SE SS 人 
0 碍 抢占 9 100 100 1 INIT INIT INIT INIT oo 


共 1 条 


CD CC 


图 4-116 HA 配置 信息 


图 4-117 执行 成 功 提示 


(28) 至 此 , 主 防火 墙 设置 完成 ,开始 备 防 火 墙 设置 。 
(29) 在 地 址 栏 中 输入 备 防火 墙 的 IP 地 址 *https: //10. 0. 1. 1”, 进 入 防火 墙 的 登录 界 
面 ,输入 管理 员 用 户 名 admin 和 密码 “11fw(@2soc# 3vpn”, 登 录 防 火 墙 , 如 图 4-118 所 示 。 


€ 3 © [A Tas mps//192160250/00 


新 一 代 智慧 防火 墙 


图 4-118 防火 墙 登录 界面 
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(30) 用 户 使 用 默认 密码 登录 防火 墙 时 ,为 提高 防火 墙 系统 的 安全 性 ,防火 墙 系统 会 提 
示 用 户 修改 初始 密码 ,本 实验 不 需要 修改 默认 密码 , 单 击 " 取 消 ” 按 钮 ,如 图 4-119 所 示 。 


必须 介 合 字母 数字 特殊 符号 


图 4-119 ”修改 初始 密码 界面 


(31) 登录 防火 墙 设备 后 ,会 显示 防火 墙 的 面板 ,如 图 4-120 所 示 。 


接口 信息 本 ES | Re am 
二 品名 称 [3 | mx 名 际 。3507H9IDyd 素 纺 
gel 器 2.39(Kbpq 2.85(Kbpe) mss vaorGl636417n) 
qe2 mn Olbps) Dbps) | 
qe3 中 Olbps Olbps) | Br NSS 
ged 中 Olbps) olbps) sss 2017-09-1621:51:13 

|| zhi:1:30 

I 组 0: 款 开 富 

Eee 员 1 人 

IR cd214d9e2bac097542482d9d8d8 
[icensefBa 日 E 回 回 | | WB 志 EED 
功能 到 月 向 名 ID 严重 性 | 时间 i 
1pSed 卫 带 数 || HTrp focdx 去 0022 ES 2017-00-15 1856.. 
提 | swN foodx 击 80007 Ea 2017-09-15 1856.. 
SSL VPN 闪 发 用 户 数 HTTP focd 攻 击 80022 2017-09-15 18:56.. 
入 侵 防 币 |SYN food 攻 去 80007 [| 2017-09-15 18:56.. 
入 侵 防御 库 升级 2018-08-29 02:12:28 |HTTP focdz 潮 80022 2017-09-15 18.54.. 


图 4-120 防火墙 面板 


(32) 防火 墙 通常 采用 备用 防火 墙 与 主 防 火 墙 同步 配置 的 方式 实现 主 备 同步 ,在 本 实 
验 中 采用 自动 配置 的 方式 实现 配置 同步 。 单 击 上 方 导航 栏 中 的 “系统 配置 "一 “高 可 用 
性 ”, 勾 选 “ 启 用 HA” 配置 同步 “动态 信息 同步 " 复 选 框 .将 “HA 通信 接口 (心跳 口 )” 设 
置 为 ge4,“HA 通信 端口 保留 默认 值 6260, 在 “本 地 接口 IP? 中 输入 “1. 1. 1. 2”, 在 “对 端 
接口 IP” 中 输入 *1. 1.1.1”, 单 击 下 方 的 “确定 ”按钮 ,如 图 4-121 所 示 。 

(33) 单 击 “ 确 定 ” 按 钮 后 ,会 提示 “执行 成 功 ” 的 提示 框 .如 图 4-122 所 示 。 

(34) 此 时 在 备用 防火 墙 “高 可 用 性 ”界面 可 看 到 “HA 组 ID” 为 0 的 “同步 配置 ”状态 
是 SYNCING, 如 图 4-123 所 示 。 

(35) 同步 过 程 需 等 待 10 秒 左 右 刷 新 页 面 , 单 击 左 侧 菜 单 中 的 “高 可 用 性 ”刷新 页 面 ， 
可 见 备 用 防火 墙 状态 已 经 同步 完成 ,如 图 4-124 所 示 。 
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| 。 高 柯 用 住 HA 接口 监控 毫 路 探 划 
启用 HA 国 
配置 同步 
动态 信息 同步 
非 对 各 模式 口 
HA 通信 接口 (心跳 口 ) ge4 ~v 
HA 通信 入 口 |* GE : 1-6260f06325-65539) 
本 地 接站 IP 
对 说 IP 
[ran] Gm] 


口 hA 组 lp 。 | 抢占 模式 。 | 抢占 于 时 ( 秒 ) | 优先 级 。 当前 优先 级 通告 问 属 ( 秒 ) 管理 状态 


0 非 反 点 0 100 100 1 INT INIT INT INIT Y 2 
共 1 条 
(HA 组 优先 级 数字 越 大 优先 等 有 越 高 ) 
Cw | EE 
图 4-121 备用 防火 墙 高 可 用 性 配置 
提示 加 


图 4-122 执行 成 功 提示 对 话 框 


HA 通信 接口 (心跳 口 ) 
HA 通告 污 口 
本 DiP 


对 : 1-626006325-655535) 


对 这 DiIP 


HA 组 


口 ha 组 ID 
0 丰 6 占 0 


| 抢占 楼 式 | 把 占 延 时 (你 ) | 优先 级 。 | 当前 优先 级 | 通告 癌 隔 ( 秒 ) 管理 状态 


100 


100 1 INT INIT 


4-123 备用 防火 墙 同步 主 防火 墙 
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二 MRS [tum)] [Ow] 
A Ri Ap。 把 。 和 E09) 人 RX 本。 SRA 00) 客人 | 
o 点 0 100 100 1 BACKUP BACKEUP 。 COMPLETE ”cowplETE FO 


A Emus 


图 4-124 备用 防火 墙 同步 配置 
(36) 主 备 防火 墙 同步 后 ,增加 主 备 防火 墙 HA 接口 监控 ,实现 主 备 防火 墙 自动 切换 。 
登录 主 防火 墙 "10. 0. 0. 1”, 单 击 上 方 导航 栏 中 “系统 配置 ”一 “高 可 用 性 ”一 “HA 接口 监 
控 ”, 显 示 当 前 的 HA 接口 监控 列表 ,如 图 4-125 所 示 。 
策略 配置 对 银 配 置 网 络 配置 系统 配置 


高 可 用 性 。 [HA 接口 等 榨 ] 。。 链 路 探 则 


DD batBID 


图 4-125 设置 主 防 火 墙 HA 接口 监控 
(37) 在 “HA 接口 监控 ”界面 中 , 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 HA 接口 监控 ” 
界面 中 ,将 "HA 组 ID” 设 置 为 0, 将 “接口 "设置 为 防火 墙 对 外 接口 ge2,“ 权 重 ” 保 持 默 认 值 
即 可 ,如 图 4-126 所 示 。 


添加 HA 接口 监控 加 | 


HAsBID [0 ~ 上 6RD 引 用 生效 
接 D | ge2 ~] 
权重 [255 上 0-255 江宁 盐 大权 本 等 季 越 名 


图 4-126 添加 HA 接口 监控 


(38) 确认 信息 无 误 后 , 单 击 “ 确 定 ? 按 钮 ,返回 “HA 接口 监控 界面, 可见 添加 的 HA 
接口 监控 信息 ,如 图 4-127 所 示 。 

(39) 在 备用 防火 墙 “10. 0. 1.1” 设 置 同样 的 HA 接口 监控 规则 ,如 图 4-128 所 示 。 

(40) 至 此 ,两 台 防 火 墙 的 HA 主 备 模 式 基本 配置 完成 。 


240 


mee 第 4 章 防火 墙 高 级 应 用 mm 


Fame | Mn | enn 
Fw] Ew ] [Cw] 
站 wm ln ms 1 渤 | 
图 4-127 HA 接口 监控 列表 
9] 
Em] Ew [Cw] 
eo lm NR 至 | 
图 4-128 备用 防火 墙 HA 接口 监控 列表 
【实验 预期 】 


(1) 内 网 段 主机 可 正常 浏览 指定 路 由 的 网 站 内 容 。 
(2) 主 备 防火 墙 可 自由 切换 并 不 影响 内 网 主机 上 网 。 


【实验 结果 】 

1) 内 网 主机 正常 浏览 对 应 网 站 
(1) 登录 实验 平台 对 应 实验 拓扑 右 侧 的 Windows XP 虚拟 机 ,如 图 4-129 所 示 。 
gel : 10.0.1.1/24 


四 ge3 : 172.16.2.1/24 


ge2: 110.69.70.2/24 
GW: 110.69.70.1 


ge4: 1.1.1.1 


Web 服 务 器 : 124.16.8.100/24 


GW: 124.16.8.1 PC1 : 172.16.2.100/24 


GW: 172.16.2.1 


ge2 : 110.69.70.2/24 
GW: 110.69.70.1 


ge3: 172.16.2.1/24 


gel : 10.0.0.1/24 


管理 机 : 10.0.0.44/24 
(以 实际 JP 地址 为 准 ) 


图 4-129 登录 右 侧 Windows XP 虚拟 机 


(2) 在 虚拟 机 桌面 双击 火狐 浏览 器 快捷 图 标 .运行 火狐 浏览 器 ,如 图 4-130 所 示 。 

(3) 在 火狐 浏览 器 地 址 栏 中 ,输入 ge2 口 连接 路 由 器 关联 的 Web 服务 器 IP 地 址 
“124. 16. 8. 100”, 可 正常 浏览 网 站 网 页 ,如 图 4-131 所 示 。 

(4) 综 上 所 述 , 内 网 主机 可 正常 访问 外 网 Web 服务 器 网 站 页 面 ,满足 预期 要 求 。 

2) 主 备 防火 墙 切换 时 不 影响 内 网 主机 浏览 网 站 

(1) 返回 主 防火 墙 “10. 0. 1. 1” 的 Web UI 界面 , 单 击 上 方 导航 栏 中 的 “网 络 配 置 ” 一 
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“接口 ”, 显 示 接 口 列表 界面 , 勾 选 ge2 接口 一 行 右 侧 “启用 ”一 列 中 的 复 选 框 ,将 ge2 接口 
关闭 ,模拟 主 防 火 墙 出 现 问 题 无 法 运行 的 情况 ,如 图 4-132 所 示 。 


图 4-130 运行 火狐 浏览 器 


ls 
€) D i216. 3 100 eans | 食 自 叶 会 加 三 


欢迎 来 天 驻 士 人 才 系统 ! 。 [ 叭 孙 ] 。[ 锡 划 注册 | 保存 到 条 面 | 网 站 首页 | 帮助 | 图 手机 频道 | Q 执 索 


恩 T0N5 -~ 


招聘 信息 。。“” 微 招 聘 。 求职 信息 。 HR 工具 箱 ”新 闻 次 讯 。 会 员 中 心 ”进入 论坛 


当 页 位 置 ， 网 站 首页 四 
搜索 职位 企业 总 级 : 0 有效 吕 位 ，0 有 多 简历 0 会员 总 级 0 蛋 发 布 招聘 攻 填 写 简历 
时 近 更 新 凶 位 写字 档 提 索 兄 位 2 
坎 门 关 健 字 : 销售 代表 ”销售 弛 理 会计 销 入 工程师 销售 和 二 路 雪 索 吕 位 。 二 村 怎 提案 四 人 
最 新 下 载 简历 从 下 载 了 我 简历 * 马上 复 下 二 本 周 直 点 职位 ws | Mt 


图 4-131 正常 浏览 ge2 接口 连接 网 站 


Ho ja wa me i m 的 _ 
eens 
四 ee : 中 [ a : 加 /了 
- — 一 日 BS a 7 
EE ~ “i ， ~ am 日 日 加 / 
E73 的 Be a 四 a EE 2 


图 4-132 切换 主 防 火 墙 工作 状态 


(2) 关闭 ge2 接口 后 会 弹出 “是 否 变 更 接口 的 启用 状态 ”提示 确认 框 ,如 图 4-133 所 示 。 
(3) 单 击 “ 确 认 ” 按 钮 ,显示 “执行 成 功 ” 的 提示 框 ,如 图 4-134 所 示 。 
(4) 单 击 “ 确 认 ” 按 钮 后 ,返回 “接口 ”列表 界面 .显示 ge2 工作 状态 已 经 变 为 灰色 ,如 


242 


ee 第 4 章 防火 墙 高 级 应 用 mm 


图 4-133 ”提示 确认 框 


© soe 
= 


图 4-134 ”执行 成 功 提示 框 


图 4-135 所 示 。 


un 
[Fm Cm [Ow] ra ] 莱 
Tm | me I [ed FR | | 
Wee mn 日 回 Ed 
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图 4-135 ” 停 用 主 防 火 墙 ge2 接口 


(5) 单 击 上 方 导航 栏 中 “系统 配置 "一 “高 可 用 性 ”, 在 显示 的 “高 可 用 性 ”界面 中 ,可 见 
当前 工作 状态 已 变 为 FAULT 的 失效 状态 ,如 图 4-136 所 示 。 


BNE HASDse 

A wan mve 加 

© sin mms 
动 帮 党 | 

BS same 雪 式 

白 WP HA 通 人 反问 9: 
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图 4-136 主 防火 墙 工 作 状态 
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(6) 登录 备用 防火 墙 “10. 0. 1. 1”, 单 击 上 方 导 航 栏 中 的 “系统 配置 ”> 高 可 用 性 ”， 
在 显示 的 “高 可 用 性 ?界面 中 ,可 见 备用 防火 墙 工作 状态 已 由 原来 的 BACKUP 变更 为 
MASTER ,如 图 4-137 所 示 。 


人 高 可 用 性 HA 续 口 旦 从 甸 耻 学科 
A ea < i 
sf mans 加 
wee 品 
tte 口 
和 ee HSN) [oet 
Han 6250 
wasn 
also 
BB wm RD | 
合 WE 更 Wa Tin) Om 
只 有 FR < [HAD 把 占 惨 式 | 哆 点 于 果 ( 秒 ) | 估计 器。 | 当 击 优先 级 | 民 告 后 抽 ( 柳 】 管 畦 镀 条。 | 转发 次 而。 | 同步 本 再 同步 起 号。 宰 作 
= 0 ER 0 rE MASTER MASIR COMRIEIE COMFE 7 吕 


图 4-137 备用 防火 墙 工 作 状态 变更 


(7) 登录 实验 平台 对 应 实验 拓扑 右 侧 的 Windows XP 虚拟 机 。 在 该 虚拟 机 中 的 火狐 
浏览 器 地 址 栏 中 再 次 输入 ge2 口 连接 的 Web 服务 器 IP 地 址 “124. 16. 8. 100”, 网 站 可 以 
正常 显示 ,如 图 4-138 所 示 。 


[€)j $ID 216.6100 © | ms ] 父 | 自 好 人 渡 加 | 三 


次 迎 来 到 暗 士 人 才 了 系统。 [ 晤 录 | 。 [免费 注册 ] 染 存 到 素面 | 网 站 首页 | 帮助 | 图 手机 频道 | QQ 搜索 


容 于 0 HR System 
| 招聘 信息 微 招聘 ”求职 信息 a ia 新 闻 资 讯 。 会 员 中 心 。 进入 论 去 


当前 位 置 ， 网 站 首页 


搜索 职位 企业 总 故 ， 0 ”有 效 吕 位 : 0 有效 简 历 :0 会员 总 故 : 0 上 发 布 招聘 区 填写 简历 


本 关键 忌 近 更 新 吕 位 。 写字 栓 搜索 中 位 人 生病 攻 大 
热门 关键 字 : 销售 代表 ”销售 经 理 会计 销售 工程 师 销售 助理 适中 提 喜人 。 二 村 和 加 
最 新 下 载 简历 从 下 让 和 的 食 历 ? 马上 至 东 坦 圭 。。 本 周 热点 职位 | 


图 4-138 网 站 正常 显示 


(8) 综 上 所 述 ,在 主 备 防火 墙 完成 切换 后 ,备用 防火 墙 可 以 同样 完成 主 防火 墙 的 相关 
功能 ,内 网 用 户 访问 外 部 Web 服务 器 不 受 影响 ,满足 预期 要 求 。 


【实验 思考 】 
(1) 在 本 实验 中 , 主 备 防火 墙 同 步 过 程 里 ,对 于 管理 口 的 IP 地 址 类 型 应 设置 为 什么 
方式 ? 


(2) 除 HA 接口 监控 外 , 链 路 探测 的 作用 是 什么 ? 
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4.2.2 防火墙 虚拟 系统 创建 管理 实验 


【实验 目的 】 

对 防火 墙 中 的 虚拟 系统 功能 进行 配置 ,配置 两 个 内 网 网 段 分 属于 不 同 的 防火 墙 子 虚 
拟 系统 ,对 同一 网 站 实现 不 同安 全 策略 配置 ,实现 防火 墙 子 虚拟 系统 间 各 自 独立 、 互 不 冲 
突 的 安全 策略 配置 。 


【知识 点 】 
虚拟 化 、 虚 拟 系 统 、 安 全 域 .安全 策略 。 


【实验 场景 】 

A 公司 新 增 事业 一 部 和 事业 二 部 ,需要 为 两 个 部 门 的 安全 策略 进行 管理 。 由 于 两 个 
事业 部 的 安全 管理 要 求 不 同 , 安 全 运 维 工 程 师 需要 利用 防火 墙 的 虚拟 系统 ,为 两 个 事业 部 
门 设置 不 同 的 子 虚 拟 系统 和 管理 员 账 号 ,实现 各 自 独 立 、 互 不 冲突 的 安全 策略 管理 ,请 思 
考 应 如 何 配置 防火 墙 的 虚拟 系统 。 


【实验 原理 】 

虚拟 系统 的 设计 是 为 了 解决 在 不 增加 额外 防火 墙 的 同时 ,为 业务 部 门 的 业务 服务 器 
提供 相互 隔离 的 安全 防护 功能 ,通过 防火 墙 的 虚拟 系统 功能 ,可 以 灵活 地 搭建 虚拟 环境 ， 
实现 业务 系统 ,业务 部 门 的 安全 隔离 与 访问 控制 。 虚 拟 系统 由 根 虚 拟 系统 、. 子 虚拟 系统 和 
虚拟 系统 接口 构成 , 根 虚拟 系统 不 可 创建 .不 可 删除 ,同时 拥有 防火 墙 的 全 部 功能 。 子 虚 
拟 系统 是 由 根 虚 拟 系统 创建 的 ,逻辑 上 的 防火 墙 ,可 以 进行 独立 的 管理 和 配置 。 虚 拟 系统 
接口 由 虚拟 系统 创建 , 且 每 个 虚拟 系统 仅 能 创建 一 个 虚拟 接口 ,分 别 属于 各 自 的 虚拟 系 
统 。 虚 拟 系统 接口 是 各 个 虚拟 系统 进行 内 部 通信 时 使 用 的 虚拟 接口 ,模拟 一 台 虚 拟 三 层 
交换 机 实现 虚拟 系统 之 间 的 通信 ,可 以 不 依靠 外 部 物理 接口 连接 。 


【实验 设备 】 

。 安全 设备 : 防火 墙 设备 1 台 。 

。 网 络 设 备 : 2 层 交 换 机 2 台 ,路 由 器 1 台 。 

。 主机 终端 : Windows Server 2003 SP2 主机 1 台 .Windows XP 主机 2 台 ,Windows 7 
主机 1 台 。 


【实验 拓扑 】 
实验 拓扑 如 图 4-139 所 示 。 


【实验 思路 】 

(1) 根系 统 配 置 接口 IP 地 址 。 

(2) 根系 统 配置 静态 路 由 。 

(3) 根系 统 配 置 源 地 址 转换 。 

(4) 根系 统 配置 安全 策略 。 

(5) 创建 虚拟 系统 VSYS2 和 VSYS3 ,并 为 两 个 子 虚 拟 系统 配置 相应 管理 员 账 号 。 
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ge3: 172.16.2.1/24 


子 虚 系 统 VSYS2 
802: 124.16.8-2/24 VGE1: 1.1.1.2/24 
GW: 124.16.8.1 
根 虚 系统 VSYS1 
VGEI1: 1.1.1.1/24 


PC1: 


| 马 
个 
击 
3 
三 
© 
5 
全 


124.16.8.1 


各 C 
S ge4: 172.16.3.1/24 
s 子 虚 系统 VSYS3 PC2: 172.16.3.100/24 
号 VGE1: 1.1.1.3/24 
马 | 
事业 二 部 
= 
Web 服 务 器 : 110.69.70.100/24 管理 机 : 10.0.0.44/24 


GW: 110.69.70.1 (以 实际 IP 地 址 为 准 ) 
图 4-139 防火 墙 虚拟 系统 创建 管理 实验 拓扑 


(6) 配置 VSYS2 的 接口 IP 地 址 .静态 路 由 、 安 全 策略 。 
(7) 配置 VSYS3 的 接口 IP 地 址 .静态 路 由 、 安 全 策略 。 
(8) 事业 一 部 子 网 网 段 主机 可 正常 访问 Web 服务 器 。 
(9) 事业 二 部 子 网 网 段 主 机 不 可 访问 Web 服务 器 。 


【实验 要 点 】 
每 个 子 虚 拟 系统 的 虚拟 接口 是 虚拟 系统 间 数 据 通信 的 基 虚 拟 系统 接口 (vge) ,用 来 进 
行 虚拟 系统 间 的 通信 。 每 个 VSYS 只 能 创建 一 个 虚拟 系统 接口 (vgel)。 


【实验 步 又】 

(1) 一 (3) 登录 并 管理 防火 墙 ,检查 防火 墙 的 工作 状态 。 

(4) 单 击 面板 上 方 导航 栏 中 的 “网 络 配置 "一 “接口 ”, 显 示 防 火 墙 接口 列表 , 单 击 ge2 
右 侧 “操作 ”中 的 笔 形 标 志 , 编 辑 ge2 接口 设置 。 

(5) 在 本 实验 中 ,ge2 口 用 于 模拟 连接 Internet 的 接口 ,因此 将 ge2 口 IP 设置 为 
“124. 16. 8. 2”, 掩 码 为 “255. 255. 255. 0”, 安 全 域 为 untrust, 后 续 步 又 按照 此 要 求 进行 调 
整 。 在 “编辑 物理 接口 ?界面 中 ,工作 模式 ?选中 * 路 由 模式 ? 单 选 按钮 , 单 击 “本 地 地 址 列 
表 ” 一 栏 中 的 IPv4 标签 中 的 “十 添加 ?按钮 。 

(6) 在 弹出 的 “添加 IPv4 本 地 地 址 ”界面 中 ,在 “本 地 地 址 ”中 输入 本 实验 设 定 的 ge2 
对 应 IP 地 址 为 “124. 16. 8. 2”, 该 地 址 用 于 与 实验 虚拟 机 通信 使 用 ,在 “ 子 网 掩 码 ” 中 输入 
“255. 255. 255.0”,“ 类 型 "保留 默认 值 float, 如 图 4-140 所 示 。 

(7) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 ,可 在 “本 地 地 址 列表 ”中 查看 添加 的 
IP 地 址 信息 。 

(8) 查看 ge2 参数 是 否 无 误 . 单 击 “ 确 定 ” 按 钮 ,关闭 “编辑 物理 接口 "界面 ,返回 “ 接 
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口 ?界面 ,查看 ge2 接口 信息 是 否 设 置 完 成 ,如 图 4-141 所 示 。 


添加 IPv4 本 地 地 址 


本 地 地 址 。 | 124.16.8 才 
子 网 撞 码 ”| 255.255.255.0 
类 型 | float 


HT | 


CCC 二 


4-141 查看 接口 信息 


(9) 配置 根 虚 拟 系统 端口 。 继 续 单 击 * 接 口 ? 界 面 中 的 “十 添加 v”" 按 钮 旁 的 向 下 箭头 ， 
在 弹出 的 菜单 中 选择 “虚拟 系统 接口 ”, 如 图 4-142 所 示 。 


4-142 ”选择 “虚拟 系统 接口 ” 


(10) 配置 虚拟 系统 上 网 时 ,根据 预先 定义 虚拟 系统 网 络 配 置 , 根 虚拟 系统 的 IP 地 址 
为 *1.1.1.1/255.255.255.0”, 首 先 需 要 配置 根 虚拟 系统 的 接口 参数 。 在 弹出 的 “添加 虚 
拟 系 统 接口 "界面 中 ,“ 名 称 ” 系 统 已 定义 ,不 需要 改动 。 将 “安全 域 ” 设 置 为 trust, “工作 模 
式 ” 选 中 “路 由 模式 ” 单 选 按 钮 ,在 “本 地 地 址 列表 ”一 栏 的 “IPv4” 标 签 中 , 单 击 “ 十 添加 ” 按 
钮 ,如 图 4-143 所 示 。 

(11) 在 弹出 的 “添加 IPv4 本 地 地 址 ”界面 中 ,在 “本 地 地 址 ”中 输入 “1. 1.1.1”, 在 “ 子 
网 掩 码 ” 中 输入 “255. 255. 255.0”,“ 类 型 "设置 为 默认 的 float, 如 图 4-144 所 示 。 

(12) 单 击 “ 确 定 ” 按 钮 ,返回 “添加 虚拟 系统 接口 "界面 ,如 图 4-145 所 示 。 
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添加 虚拟 系统 接口 回 | 
虐 拟 系统 接口 。 加] 启用 
名 称 |vgel 
搞 述 (0-127) 个 字符 


1.1.1.1 


255.255.255.0 


float 


上 


名 称 | vgel 
搞 述 (0-127) 人 字符 
安全 域 。 | trust ~ 


IPv4 1IPv6 
(Crim] 
本 地 地 址 | FR | 类 于 | wre | 
Ou 255.255.255.0 float AI 


4-145 ”检查 接口 信息 
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(13) 查看 信息 无 误 后 , 单 击 “确定 ”按钮 ,返回 “接口 "界面 列表 ,会 显示 当前 的 接口 信 
息 , 如 图 4-146 所 示 。 


+inv | [Dm | [Cm E23 NE] 

Ds ee i es Fe | | 
gol a nm B El 回 
> La st nm B B Ve 
一 er Cy 
0 a nm B a Ca 

Dwe! et et LL BB a 回 


图 4-146 接口 信息 列表 


(14) 配置 默认 路 由 ,以 保证 两 个 事业 部 内 网 用 户 均 可 以 上 网 。 单 击 上 方 导航 栏 中 
“网 络 配置 >“ 路 由 ”一 “静态 路 由 ”, 显 示 “ 静 态 路 由 ”的 列表 信息 ,如 图 4-147 所 示 。 


策略 配置 对 象 配置 网 络 配置 


图 4-147 静态 路 由 列表 


(15) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 静态 路 由 ”界面 中 ,“ 目 的 地 址 / 掩 码 ”保持 默 
认 的 “0.0.0.0/0.0.0.0”,“ 类 型 "选中 “网 关 ” 单 选 按 钮 ,在 “网 关 ” 中 输入 ge2 口 连接 路 由 
器 的 IP 地 址 *124. 16. 8. 1”, 如 图 4-148 所 示 。 


添加 歼 态 路 由 回 | 
目的 地 址 / 撞 码 ”| 0.0.0.0/0.0.0.0 
类 型 ”加 网 关 O 〇 内 0 
网 关 | 124.16.8.1 
权重 |1 js 


图 4-148 添加 静态 路 由 


(16) 单 击 “ 确 定 ” 按 钮 .返回 “静态 路 由 ”列表 ,可 查看 增加 的 静态 路 由 ,添加 此 路 由 用 
于 保证 所 有 上 网 流量 都 可 到 达 外 网 ,如 图 4-149 所 示 。 
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4-149 ”添加 默认 路 由 


(17) 配置 根 虚 拟 系统 到 子 虚 拟 系统 VSYS2 的 静态 路 由 。 在 “静态 路 由 ”列表 中 继续 
单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 静态 路 由 ”界面 中 ,在 “目的 地 址 / 掩 码 ”中 输入 ge3 口 
对 应 的 IP 地 址 段 “172. 16. 2.0/24”,“ 类 型 ”选中 “网 关 ” 单 选 按钮 ,在 网关 ”中 输入 预定 义 
的 VSYS2 的 IP 地 址 “1. 1. 1. 2”, 如 图 4-150 所 示 。 


目的 地 址 / 挤 码 | 172.16.2.0/24 
类 型 @ 网 关 O WO 
网 关 |1.1.14d 
村 |1 | (1-255) 


4-150 ”添加 子 虚 拟 系统 VSYS2 的 静态 路 由 


(18) 单 击 “ 确 定 ” 按 钮 ,在 “静态 路 由 ”列表 中 显示 当前 添加 好 的 外 网 路 由 和 子 虚 拟 系 
统 VSYS2 的 路 由 ,如 图 4-151 所 示 。 


4-151 路 由 列表 


(19) 配置 从 根 虚拟 系统 到 子 虚 拟 系统 VSYS3 的 静态 路 由 。 继 续 在 “静态 路 由 ”列表 
界面 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 静态 路 由 ”界面 中 ,在 “目的 地 址 / 掩 码 ” 中 输入 
ge4 口 对 应 的 IP 地 址 段 *“172. 16. 3.0/24”,“ 类 型 "选中 “网 关 ” 单 选 按 钮 ,在 “网 关 ” 中 输入 
VSYS3 的 IP 地 址 “1. 1. 1. 3”, 如 图 4-152 所 示 。 


172.16.3.0/24 
@ Rx 


1.1.13 


1 


4-152 ”添加 子 虚 拟 系统 VSYS3 的 静态 路 由 


(20) 单 击 “ 确 定 ” 按 钮 .返回 “静态 路 由 ”列表 界面 ,显示 添加 的 外 网 路 由 和 两 个 子 虚 
拟 系统 路 由 ,如 图 4-153 所 示 。 
(21) 配置 源 NAT 策略 ,隐藏 内 网 信息 。 单 击 上 方 导航 栏 中 的 “策略 配置 ”>“NAT 
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策略 ”, 显 示 当 前 源 NAT 策略 列表 ,如 图 4-154 所 示 。 


Wem 


EE] ER] CEC] 


.44 
Fp 
ccc 


图 4-153 静态 路 由 列表 


策略 配置 对 和 配置 网 络 配置 


em 源 NAT 目的 NAT NAT64 

[fm |] [Om | (lw | (Ssts | (CR | 

国 安全 认证 《 Daw 亚 地 址 目的 地 址 | 有 条 
图 ss 本 策略 


图 4-154 NAT 策略 列表 


(22) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 源 NAT” 界 面 中 ,在 “名 称 ” 中 输入 “ 源 NAT 
转换 ”, 在 “转换 前 匹配 ”一 栏 中 ,将 “ 源 地 址 类 型 ”选中 “地 址 对 象 ” 单 选 按 钮 ,将 “ 源 地 址 ” 设 
置 为 any, 将 “目的 地 址 类 型 "选中 “地 址 对 象 " 单 选 按钮 ,将 “目的 地 址 “服务 ” 均 设 置 为 
any, 将 “出 接口 "设置 为 ge2。 在 “转换 后 匹配 ”一 栏 中 ,将 “地 址 模式 ”设置 为 “动态 地 址 ”， 
将 “类 型 "设置 为 BY_ROUTE, 如 图 4-155 和 图 4-156 所 示 。 


添加 源 NAT 


名 称 。 | 源 NAT 续 接 .0-6a 字 和 
搞 述 |@-127 字 冤 


出 接 D | ge2 


图 4-155 ”添加 源 NAT 转换 策略 


地 址 模式 。 @ 动态 地 址 〇 天 去 地 址 
类 型 | BY ROUTE 加 | 


[Ce J ] 


图 4-156 “转换 后 匹配 ”界面 


(23) 确认 信息 无 误 后 , 单 击 “ 确 定 ” 按 钮 ,返回 “ 源 NAT” 策 略 列表 界面 ,可 见 添加 的 


源 NAT 转换 策略 ,如 图 4-157 所 示 。 
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图 4-157 源 NAT 策 略 列 表 


(24) 配置 防火 墙 安全 策略 ,用 于 内 网 虚拟 系统 上 网 。 单 击 上 方 导航 栏 中 “策略 配置 "一 
“安全 策略 ”, 显 示 当 前 安全 策略 列表 ,如 图 4-158 所 示 。 


对 人 多 配置 


Rss 


NAT 征 略 


[十 和 ] [Saw |](Ow ] (Bw ][ & esrm |[ Cm ] 
国 安全 WE < :只 下 安全 域 目的 安全 域 源 地 址 /地 区 


国 ssUE 癸 咯 


图 4-158 ”安全 策略 列表 
(25) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 安全 策略 ”界面 中 ,在 “名 称 ” 中 输入 “虚拟 系 
统 ”, 色 选 “ 启 用 " 复 选 框 ,将 “动作 ”选中 “允许 ” 单 选 按钮 ,将 “ 源 安全 域 " 和 “目的 安全 域 ” 均 
设置 为 any, 此 条 安全 策略 为 全 通 安 全 策略 , 即 防火 墙 将 收 到 的 所 有 请 求全 部 转发 ,在 实 
际 应 用 中 需 配 合 具 体 网 络 环境 进行 设置 ,如 图 4-159 所 示 。 


日 
名 称 | 店 拟 系统 * (1-63 字 初 ) 
搞 述 ] 0-127 字 物 
启用 
动作 国 fi 许 Ox 〇 支 全 连接 也 道 ) 


VIAN | 请 给 AVLAN 
( 取 值 范围 0-4094 , 枕 式 : 1,3,5-10,12) ee 


we | ws | 


4-159 配置 安全 策略 


(26) 单 击 “ 确 定 ” 按 钮 ,返回 “安全 策略 ”列表 ,显示 当前 添加 好 的 安全 策略 , 如 
图 4-160 所 示 。 
(27) 配置 子 虚 拟 系统 VSYS2。 单 击 上 方 导航 栏 中 的 “系统 配置 ”, 再 单 击 左 侧 菜 单 
栏 最 下 方 的 “v” 标 志 , 展 开 隐藏 的 菜单 ,如 图 4-161 所 示 。 
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Cm 
ra aa = mm 上 Sages a er mm 
~ 加 ~ 国 多 如 加 


图 4-160 安全 配置 列表 


2019-04-09 100826 


8 wa a F 
© uesn le ~ | 
A Ren Cw ] Cw ] 
A sue DNS 回 

[一下 


WSONSRS [114114114114 
MONSES 8&888 


Cw ] Cw ] 


图 4-161 进入 系统 配置 页 面 


(28) 单 击 “v" 标 志 后 ,在 隐藏 菜单 中 选择 “虚拟 系统 ”, 显 示 当 前 防火 墙 虚拟 系统 列 
表 , 如 图 4-162 所 示 。 


i 记 弄 如 坑 
A maa +am ] [Om ] [Cw 
@ unin Dm ms iD 
和 4。 0 天 A100 
EE 
Sam E000 


= aslieezgeaaod 
[ re NAT 。 E09。 十 大 舍 100 


的 NAT 。 保值 0。 最 大全 100 
图 he 
8 ump 


全 Wks 才 


如 sw 


© pm 
田 斑 


[sd 


0 ens 


图 4-162 防火 墙 虚 拟 系统 列表 
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(29) 防火 墙 默 认 自 带 的 虚拟 系统 为 “root-vsys”, 称 为 “ 根 虚拟 系统 ”, 防 火 墙 所 有 功 
能 均 在 根 虚拟 系统 中 运行 ,默认 将 防火 墙 的 所 有 接口 列 入 根 虚 拟 系统 , 根 虚拟 系统 不 可 
删除 。 

(30) 在 “虚拟 系统 ”列表 界面 中 . 单 击 “ 十 添加 ”按钮 ,开始 添加 子 虚 拟 系统 ,在 弹出 的 
“添加 虚拟 系统 ”界面 中 ,在 “名 称 ” 中 输入 “VSYS2”, 将 “接口 ”设置 为 ge3, 如 图 4-163 
所 示 。 


图 4-163 添加 防火 墙 虚 拟 子 系统 


(31) 单 击 “ 确 定 ” 按 钮 ,防火 墙 会 将 ge3 接口 从 根 虚拟 系统 调和 信子 虚拟 系统 ,返回 “ 虚 
拟 系统 ”列表 ,如 图 4-164 所 示 。 


虚拟 村 统 
Dsw | | 坟 品 


会 活 保证 舍 :0 。 最 大 伪 100 

安全 策略 。 保证 值 0 。 最 大 值 100 
tr ,9e24 
天 NAT 。 保证 佑 0 。 时 大 佬 100 a 

目的 NAT 。 保证 值 0 。 暴 大 伪 100 

会 活 保证 合 0 。 最 大 佬 100 

安全 策略 。 保证 侍 0 。 最 大 值 100 

口 vsysz ge3 
要 NAT 。 保 古 知 0 。 县 大 佬 100 


目的 NAT 保证 舍 0 。 最大 伟 100 


图 4-164 添加 子 虚 拟 系统 


(32) 继续 在 “虚拟 系统 ”列表 界面 中 单 击 “ 十 添加 ”按钮 ,添加 子 虚 拟 系统 VSYS3 。 
在 弹出 的 “添加 虚拟 系统 ”界面 中 ,在 "名称 ”中 输入 VSYS3, 将 “接口 "设置 为 ge4, 如 
图 4-165 所 示 。 


添加 虚拟 系统 x 
名 称 ”|VSYS3 | 0-63 字 条 
接 D [ge4 | 
”高级 
EI 


4-165 ”添加 子 虚 拟 系统 VSYS3 


(33) 单 击 “ 确 定 ” 按 钮 ,返回 “虚拟 系统 "列表 界面 ,防火 墙 将 ge4 接口 分 配给 子 虚 拟 
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系统 VSYS3 ,如 图 4-166 所 示 。 


虚拟 系统 
口 名 称 资源 | 接口 


全 活 。 全 篇 0 。 最大 信 :100 
安全 策略 。 保 汪 篇 0 。 最大 信 :100 
root" jel,ge2 
源 NAT ”人 入 0 。 最大 信 :100 

目的 NAT 。 保证 售 0 。 最 大 舍 :100 
全 活 GE 入 0 。 最大 信 :100 
安全 生路 。 保证 售 0 。 最 大 信 :100 

OD vevsz 本 
源 NAT 保证 信 :0 。 最 大 值 :100 
目的 NAT 。 保证 售 0 。 最 大 什 100 
全 活 保证 值 0 。 最 大 信 :100 
安全 策略 。 保证 值 0 最 大 从 100 

DVsys3 ge4 
源 NAT 。 人 下 佑 0 。 且 大 仿 100 
目的 NAT 。 保证 什 0 。 最 大 伟 100 


图 4-166 虚拟 系统 列表 


(34) 为 两 个 子 虚 拟 系统 创建 对 应 超级 管理 员 ,在 实际 使 用 中 根据 需要 增加 其 他 管理 
员 。 单 击 上 方 导航 栏 中 的 “系统 配置 "一 “管理 员 ”>“ 管 理 员 ”, 显 示 当 前 的 管理 员 清 单 ,如 
图 4-167 所 示 。 


策略 配置 对 象 配置 网 络 配置 系统 配置 
和 % 是 | 。 | 多 表 
” [Fm [Em] 
管理 员 .管理 吕 称 起 系统 认证 类 型 
管理 员 角 色 
普 理 员 设 着 国 rootwves 二 地 
管理 证 书 


图 4-167 管理 员 列 表 


(35) 在 “管理 员 ” 界 面 中 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 管理 员 ” 界 面 中 ,在 “管理 
员 名 称 ” 中 输入 VSYS2-admin”, 将 “认证 类 型 "选中 “本 地 ” 单 选 按 钮 ,将 “系统 ”设置 为 
VSYS2, 将 “角色 ”设置 为 “超级 管理 员 ”, 在 “密码 "和 “确认 密码 ”中 均 输 入 “11qazxsw2@”, 将 
“登录 类 型 "设置 为 HTTPS, 如 图 4-168 所 示 。 

(36) 确认 信息 无 误 后 , 单 击 “ 确 定 ” 按 钮 ,返回 “管理 员 ” 列 表 界 面 ,出 现 添加 的 
VSYS2-admin 管理 员 信 息 ,如 图 4-169 所 示 。 

(37) 继续 在 “管理 员 ” 界 面 中 单 击 “ 十 添加 ”按钮 ,添加 子 虚 拟 系统 VSYS3 的 管理 
员 。 在 弹出 的 “添加 管理 员 ” 界 面 中 ,在 “管理 员 名 称 ” 中 输入 “VSYS3-admin”, 将 “认证 
类 型 "选中 “本 地 ” 单 选 按 钮 .将 “系统 ”设置 为 VSYS3, 将 “角色 ”设置 为 ^ 超 级 管理 员 ”， 
在 “密码 ”和 “确认 密码 ”中 均 输入 “!1qgazxsw2@”, 将 “登录 类 型 "设置 为 HTTPS, 如 
图 4-170 所 示 。 
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* (1-63 个 字 稳 
(0-127 个 守 彻 


* (10-127 闻 符 须 包含 字 母 数 字符 殊 符号 ) 
* (10-127 闻 符 须 包 合 字 母 数字 ,特殊 符号) 


登录 类 型 HTP 四 HTTPPS 口 cCONSOLE 口 TELNET DssH 


确定 取消 
4-168 添加 子 虚 拟 系统 VSYS2 管理 员 
[rm CR GR] [evame a 
Cr | 
oo ~ a wm 二 / 
wa we ee wm 


图 4-169 管理 员 列 表 


* (01-63 人 字 复 
(0-127 个 字 初 


* (10-127 闻 符 须 包 合 字母 数字 特殊 符号 ) 
* (10-127 字 符 , 须 包 合 字 母 数字 特殊 符号 ) 


CONSOLE 口 TELNET DssH 


[由 同月 


图 4-170 添加 子 虚 拟 系统 VSYS3 管理 员 


(38) 确认 信息 无 误 后 . 单 击 “ 确 定 ” 按 钮 ,返回 “管理 员 ” 列 表 界 面 ,出 现 添 加 的 两 个 子 


虚拟 系统 管理 员 信 息 , 如 图 4-171 所 示 。 
(39) 在 实际 使 用 中 应 由 两 个 子 虚 拟 系统 管理 员 登 录 防 火 墙 ,对 各 自负 责 管理 的 虚拟 


防火 墙 进行 管理 。 因 此 分 配 好 两 个 子 虚 拟 系统 管理 员 后 ,使 用 两 个 子 虚 拟 系统 管理 员 账 
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图 4-171 管理 员 列 表 


号 登录 、 配 置 防火 墙 。 在 防火 墙 Web UI 界面 中 , 单 击 上 方 导航 栏 右 侧 的 齿轮 形 标志 ,在 
弹出 的 菜单 中 选择 退出”, 退出 当前 根 虚 拟 系统 的 admin 账户 ,如 图 4-172 所 示 。 
(40) 单 击 “ 退 出 ”后 ,会 显示 “是 否 退 出 ”的 确认 框 ,如 图 4-173 所 示 。 


A 1 Aadnin| 191 昌 | 人 @ 


图 4-172 退出 当前 根 虚拟 系统 图 4-173 “是 否 退出 ”确认 框 


(41) 单 击 “ 确 认 ” 按 钮 ,退出 根 虚 拟 系统 admin 账号 后 ,返回 防火 墙 登录 界面 ,输入 管 
理 员 用 户 名 “VSYS2-admin” 和 密码 “11qazxsw2@” 登 录 防 火 墙 .如 图 4-174 所 示 。 


/Ben AN 
€ 3 © |A Fes | httpe//1921683.50/'oginntml 


里 VSYS2-admin 


新 一 代入 翡 防 火 墙 EE 


图 4-174 使 用 VSYS2-admin 用 户 名 登录 防火 墙 


(42) 子 虚 拟 系统 与 根 虚 拟 系统 界面 非常 类 似 , 配 置 过 程 也 基本 相同 。 首 先 需要 配置 
网 络 接口 。 单 击 上 方 “网 络 配 置 " 一 “接口 ”, 显 示 子 虚拟 系统 当前 的 接口 列表 ,如 
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图 4-175 所 示 。 


Ee Dm Inet ma ma me et | mm | 上 
:二 ge3 Mm 式 fe80-21531fijeel5268/64 0 男 El 外 0 回 ’ 


图 4-175 子 虚 拟 系统 接口 列表 


(43) 子 虚 拟 系统 VSYS2 接口 是 依托 ge3 接口 ,因此 在 子 虚 拟 系统 中 默认 包含 ge3 
接口 , 且 不 可 删除 , 仅 可 编辑 。 单 击 ge3 接口 一 行 右 侧 的 笔 形 标志 ,编辑 ge3 接口 的 参数 ， 
如 图 4-176 所 示 。 


MAC 地 址 | 00:16:31:e1:6a:68 | 人 


虚 MAC 地 址 。 | 00:00:00:10:03:00 | 
后 述 ] onzm1 字 他 


安全 域 | trust “| 
工作 模式 。 加 路 由 模式 。“ 〇 交接 模式 。 “ 〇 旁 路 模式 
HA 组 [0 = 


| 


图 4-176 编辑 ge3 接口 信息 


(44) ge3 接口 连接 的 是 内 网 网 段 ,因此 “安全 域 " 选 择 trust, 继 续 单 击 “ 本 地 地 址 列 
表 ” 里 “IPv4” 标 签 栏 中 的 “十 添加 ”按钮 ,在 弹出 的 “添加 IPv4 本 地 地 址 ”界面 中 ,在 “本 地 
地 址 ”中 输入 分 配给 ge3 的 内 网 地 址 "172. 16. 2. 1” ,在 * 子 网 掩 码 ” 中 输入 “255. 255. 255. 0”， 
将 “类 型 ?设置 为 float, 如 图 4-177 所 示 。 

(45) 单 击 “ 确 定 ” 按 钮 .返回 “编辑 物理 接口 "界面 .如 图 4-178 所 示 。 

(46) 确认 参数 无 误 后 , 单 击 “ 确 定 ” 按 钮 .返回 “接口 "列表 界面 ,可 查看 ge3 接口 信 
息 , 如 图 4-179 所 示 。 

(47) 在 子 虚 拟 系统 VSYS2 中 ,配置 与 根 虚 拟 系统 连通 的 虚拟 接口 。 单 击 “ 接 口 ? 界 
面 中 的 “十 添加 v” 按 钮 ,在 弹出 的 菜单 中 选择 “虚拟 系统 接口 ”, 如 图 4-180 所 示 。 

(48) 在 弹出 的 “添加 虚拟 系统 接口 ”界面 中 ,在 “本 地 地 址 列表 ”一 栏 的 IPv4 标签 栏 
中 , 单 击 “ 十 添加 ”按钮 ,如 图 4-181 所 示 。 

258 


en 第 4 章 防火 墙 高 级 应 用 mm 


添加 IPv4 本 地 地 址 加 


本 地 地 址 | 172.16.2.1 | 
子 网 痢 码 | 255255255.0 
类 型 | float ~| 


图 4-177 编辑 ge3 接口 配置 


编辑 物理 接口 
物理 接口 。 回 启用 
名 称 | 9e3 


MAC 地 址 | 00:16:31:e1:6a:68 恢复 默认 


店 MAC 地 址 | 00:00:00:10:03:00 


-| ] 0-12n 人 字符 
安 域 [mst ~| 
工作 模式 。 回 路 由 模式 。 〇 交 护 模式 。 〇 旁 小 模 式 


HA 组 [0 ~ 


可 
3 
| ”BH 


DHCP 
EE 类 型 操作 
口 721621 255.255.255.0 float ’ 


图 4-178 ”ge3 接口 参数 


若 
Tv | [Om |[Cm ) C3 可 

证 用 IE I ER 
pe St TO 和 pe 吕 国 DD 1 回 了 


172.16.2.1/255.255.255.0 
fe80-216.31fffee1:6a68/64 


图 4-180 子 虚 拟 系统 VSYS2 中 的 接口 界面 
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搞 述 (0-127) 人 字符 


图 4-181 添加 虚拟 系统 接口 


(49) 在 “添加 IPv4 本 地 地 址 界面 中 ,添加 子 虚 拟 VSYS2 系统 的 全 地 址 “1. 1. 1. 2”, 子 
网 扼 码 为 *255. 255. 255. 0" “类 型 ”设置 为 float, 如 图 4-182 所 示 。 


1.1.12 


255.255.255.0 
float 


图 4-182 添加 子 虚 拟 系统 IP 地 址 


(50) 单 击 “ 确 定 ” 按 钮 .查看 子 虚 拟 系统 接口 参数 是 否 无 误 , 如 图 4-183 所 示 。 

(51) 单 击 “ 确 定 ”, 返 回 * 接 口 ? 列 表 , 显 示 子 虚拟 系统 中 接口 列表 ,如 图 4-184 所 示 。 

(52) 配置 子 虚 拟 VSYS2 系统 静态 路 由 ,建立 与 根 虚 拟 系统 的 路 由 ,保证 所 有 上 网 流 
量 通 过 根 虚 拟 系统 的 虚拟 系统 接口 转发 。 单 击 * 网 络 配置 ”> 路 由 ”静态 路 由 ”, 显 示 
当前 子 虚 拟 VSYS2 系统 的 静态 路 由 列表 ,如 图 4-185 所 示 。 

(53) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 静态 路 由 ”界面 中 ,“ 目 的 地 址 / 掩 码 ” 保 留 默 
认 的 “0.0.0.0/0.0.0.0”,“ 类 型 "选中 “网 关 ” 单 选 按钮 ,在 网关” 中 输入 在 根 虚 拟 系统 中 
创建 的 虚拟 接口 vgel 的 卫 地 址 “1. 1. 1. 1” ,如 图 4-186 所 示 。 

(54) 确认 信息 无 误 后 , 单 击 “ 确 定 ” 按 钮 ,返回 “静态 路 由 ”列表 界面 ,显示 当前 子 虚 拟 
系统 中 的 静态 路 由 列表 .如 图 4-187 所 示 。 

(55) 继续 添加 子 虚 拟 系统 VSYS2 与 子 虚 拟 系统 VSYS3 的 路 由 信息 。 单 击 “ 十 添 
加 ”按钮 ,在 弹出 的 “添加 静态 路 由 ”界面 中 ,在 “目的 地 址 / 掩 码 " 中 输入 ge4 接口 连接 的 
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| 0-12n73 竺 
操作 
口 1112 255.255.255.0 float AI 
2 | Ss 卫 [mm Fr = 站 | 加 
om ER o ma 中 日 DD ! 加 3 
Dw esr T255255255D L BB B 日 回 到 


图 4-184 子 虚 拟 系统 接口 列表 


中 处 寺中 时 A | Rodmin [EEE EE | 


图 4-185 子 虚 拟 系统 静态 路 由 列表 


添加 静态 路 由 [x] 
目的 地 址 / 挤 码 ”| 0.0.0.0/0.0.0.0 . 
类 型 ”@ 网 关 出 接口 
网 关 
权重 (1-255) 


图 4-186 ”添加 静态 路 由 
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面板 分 析 中 心 至 据 中 心 处 置 中 心 第 路 配置 对 入 配置 | 系统 配 辕 人 | 内 admin 1@ | 
静态 路 由 

目的 地 址 / 章 码 Ci] 协 汉 机 至 | 

口 oooom 1111 vgel 幕 志 1 4 


图 4-187 子 虚 拟 系统 静态 路 由 列表 (已 添加 静态 路 由 ) 


IP 地 址 段 *172. 16. 3.0/24”, “类 型 "选中 “网 关 ” 单 选 按 钮 ,在 网关” 中 输入 VSYS3 的 预 
定义 vgel 接口 IP 地 址 *1. 1. 1. 3”, 如 图 4-188 所 示 。 


添加 静态 路 由 [x] 
目的 地 址 / 挤 码 | 172.16.3.0/24 
类 型 ”加 网 关 出 接口 
网 关 | 1.1.1.3| T 
权重 |1 (1-255) 


图 4-188 添加 去 往 VSYS3 的 路 由 


(56) 单 击 “ 确 定 ” 按 钮 ,返回 静态 路 由 ”列表 界面 ,可 查看 添加 的 与 根 虚 拟 系统 和 子 
虚拟 系统 VSYS2 的 路 由 信息 ,如 图 4-189 所 示 。 


图 4-189 VSYS2 静态 路 由 列表 


(57) 配置 子 虚 拟 系统 VSYS2 的 安全 策略 。 单 击 “ 策 略 配置 ?一 "安全 策略 ”, 显 示 当 
前 子 虚 拟 系统 中 的 安全 策略 列表 ,如 图 4-190 所 示 。 


Rem 安全 合格 nes 
国 Mr +an | [Sam |[ Ow ] [下 本 |(h esrm | [Ca Ee 
并 | se 四 4 ys 人 二 村/ 吉 区 Betd/ MF 服务 后 用 


图 4-190 子 虚 拟 系统 VSYS2 安全 策略 列表 


(58) 在 “安全 策略 ”标签 页 中 , 单 击 “ 十 添加 ”按钮 .在 弹出 的 “添加 安全 策略 "界面 中 ， 
在 “名 称 ” 中 输入 VSYS2 的 安全 策略 ”, 勾 选 “ 启 用 ” 复 选 框 ,将 “动作 ”选中 “允许 ” 单 选 按 
钮 ,将 “ 源 安 全 域 “* 目 的 安全 域 “ 源 地 址 /地 区 ”目的 地 址 /地 区 ”服务 ”和 “应 用 ” 均 设置 
为 any, 如 图 4-191 所 示 。 
(59) 在 子 虚 拟 系统 VSYS2 中 配置 的 安全 策略 为 全 通 策略 ,主要 用 于 与 子 虚 拟 系统 
VSYS3 系统 的 全 不 通 策略 进行 对 比 ,实际 使 用 时 应 以 相应 的 网 络 安全 要 求 进行 配置 。 
262 


加 ft 许 Ox 


VLAN “| 请 给 入 VLAN 
(他 值 范围 0-4094 , 格式 : 1,3,5-10,12) 
流量 日 志 。 门 会 活 开始 。 口 ] 会 话 结束 


Ln J( ws J 


图 4-191 配置 子 虚 拟 VSYS2 系统 安全 策略 


(60) 单 击 “ 确 定 " 按 钮 ,返回 “安全 策略 "列表 ,显示 当前 的 安全 策略 列表 ,如 图 4-192 
所 示 。 


“i 
Fun ] (Fm ] (Om (ie Awe |] [Co [1 ql 


Dimeamm my 四 ~ ~ ~ ~ - pn 如 日 


图 4-192 子 虚 拟 VSYS2 系统 安全 策略 列表 (已 添加 安全 策略 ) 


(61) 至 此 , 子 虚 拟 系统 VSYS2 配置 完毕 , 单 击 上 方 导航 栏 中 的 齿轮 形 图 标 ,退出 
VSYS2 系统 。 在 防火 墙 登 录 界面 输入 用 户 名 “VSYS3-admin” 和 和 密码“!1qazxsw2@” 登 录 
至 子 虚 拟 系统 VSYS3 中 ,开始 对 子 虚 拟 系统 VSYS3 进行 设置 ,如 图 4-193 所 示 。 

(62) 配置 VSYS3 网 络 接口 。 单 击 上 方 “网 络 配置 ”一 接口”, 显 示 子 虚拟 系统 
VSYS3 当前 的 接口 列表 ,如 图 4-194 所 示 。 

(63) 了 于 虚拟 VSYS3 接口 是 依托 ge4 接口 ,因此 在 子 虚 拟 系统 中 默认 包含 ge4 接口 ， 
且 不 可 删除 , 仅 可 编辑 。 单 击 ge4 接口 一 行 右 侧 的 笔 形 标志 ,编辑 ge4 接口 的 参数 ,如 
图 4-195 所 示 。 

(64) ge4 接口 连接 的 是 内 网 地 址 段 , 因 此 将 * 安 全域 ?设置 为 trust, 单 击 “ 本 地 地 址 列 
表 ” 中 IPv4 标签 栏 中 的 “十 添加 ”按钮 ,在 弹出 的 “添加 IPv4 本 地 地 址 ”界面 中 ,在 “本 地 地 
址 ”中 输入 分 配给 ge4 的 内 网 地 址 172. 16. 3. 1”, 在 “ 子 网 掩 码 ” 中 输入 “255. 255. 255. 0”， 
如 图 4-196 所 示 。 

(65) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 .如 图 4-197 所 示 。 

(66) 确认 参数 无 误 后 . 单 击 “ 确 定 ” 按 钮 .返回 “接口 "列表 界面 ,可 查看 ge4 接口 信 
息 ,如 图 4-198 所 示 。 
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新 一 代 智 慧 防火 墙 


图 4-193 选择 VSYS3 子 虚 拟 系统 


E> Dm Ch 


Eo NE- 
low I 现 NRS Ha Rs mi 3m CE fr 
= Bel e8021631fifeolso69/64 0 面 人 EE] 0 加 ‘ 

图 4-194 子 虚 拟 系统 接口 列表 
编辑 物理 接口 四 
物理 接口 ”四 启 用 
名称 |ge4 。 
MAC 地 址 00:16:31:e1:6a:69 ] 恢复 默认 
虑 MAC 地 址 | 00:00:00:10:04:00 
搞 述 (0-127) 个 字符 
安全 域 | trust 
工作 模式 @ 路 由 模式 。 〇 交换 模式 。“ 品 旁 路 模式 
HA 组 0 v 
IPv6 
DHCP 
了 类 型 操作 
确定 取消 


图 4-195 ”编辑 ge4 接口 信息 
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添加 IPv4 本 地 地 址 加 


本 地 地 址 “| 172.16.3.1 
子 网 挤 码 ”| 255.255.255.0 
类 型。 |float ~ 


MAC 地 址 | 00:16:31:e1:6a:69 | ”恢复 财 认 
让 MAC 地 址 ”| 00:00:00:10:04:00 ] 
摘 述 站 | -tan 
安全 域 | trust ~]| 
工作 模式 图 路 由 模式 。“ 〇 交接 模式 。 ” 〇 旁 路 模式 
HA 组 |0 v| 
本 Ipv4 Ipv6 
@ 静 志 地 址 DHCP 
[上 可 
口 本 地 地 址 FR | | me | 
口 172163.4 255.255.255.0 float ” 图 


图 4-197 ge4 接口 参数 


策略 配置 对 争 配 置 ”网络 配置 


二 区 
口 gm I 和 +t 。 接生 Ha 人 二 一 村 一 | 到 | a 
172163.1/255.2552550 - 
Ltd fe80:216:31ftfee1:5a69/64 党 Ws 国 外 加 1 A 


图 4-198 ”接口 列表 


(67) 在 子 虚 拟 系统 VSYS3 中 ,配置 与 根 虚 拟 系统 连通 的 虚拟 接口 。 单 击 “ 接 口 " 界 
面 中 的 “十 添加 v” 按 钮 ,在 弹出 的 菜单 中 选择 “虚拟 系统 接口 ”, 如 图 4-199 所 示 。 

(68) 在 弹出 的 “添加 虚拟 系统 接口 "界面 中 ,在 “本 地 地 址 列表 ”一 栏 的 “IPv4” 标 签 栏 
中 , 单 击 “ 十 添加 ”按钮 ,如 图 4-200 所 示 。 

(69) 在 “添加 IPv4 本 地 地 址 ”界面 中 ,添加 子 虚 拟 系统 VSYS3 的 全 地 址 “1.1.1.3”, 子 
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网 掩 码 为 “255. 255. 255. 0”, 如 图 4-201 所 示 。 


图 wa 这][G 芝 ] Bm | [2 
Sn ee EX。 RAES Ha 上 i a E23] 
Bi ED Wee ese ere/ 0 mn BB BB 1 加 
图 4-199 子 虚 拟 系统 VSYS3 中 的 接口 界面 
x 
| @-12n 人 字符 
”| 
类 型 操作 
认 有 识 娃 


4-200 添加 虚拟 系统 接口 


添加 IPv4 本 地 地 址 


本 地 地 址 | 1.1.1.3 
子 网 接 码 |255.255.255.0 |- 


;rt | 


[ws ][ ws | 


图 4-201 添加 子 虚 拟 系统 VSYS3IP 地 址 


(70) 单 击 “ 确 定 ” 按 钮 ,查看 子 虚 拟 系统 接口 参数 是 否 无 误 ,如 图 4-202 所 示 。 
(71) 单 击 “ 确 定 ” 按 钮 ,返回 “接口 "列表 .显示 子 虚 拟 系统 VSYS3 中 接口 列表 ,如 
图 4-203 所 示 。 
(72) 配置 子 虚 拟 系统 VSYS3 静态 路 由 ,建立 与 根 虚 拟 系统 的 路 由 ,保证 所 有 上 网 流 
量 通过 根 虚拟 系统 的 虚拟 系统 接口 转发 。 单 击 * 网 络 配置 ”一 “路 由 ”静态 路 由 ”, 显 示 
当前 子 虚 拟 VSYS2 系统 的 静态 路 由 列表 ,如 图 4-204 所 示 。 
266 


mae 第 4 章 防火 墙 高 级 应 用 ma 
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图 4-204 子 虚 拟 系统 静态 路 由 列表 


(73) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 静态 路 由 ”界面 中 ,“ 目 的 地 址 / 掩 码 ”保留 默 
认 的 “0.0.0.0/0.0.0.0”,“ 类 型 "选中 “网 关 ” 单 选 按 钮 ,在 “网 关 ” 中 输入 在 根 虚拟 系统 中 
创建 的 虚拟 接口 vgel 的 卫 地 址 “1. 1. 1. 1”, 如 图 4-205 所 示 。 

(74) 确认 信息 无 误 后 , 单 击 “ 确 定 ” 按 钮 .返回 “静态 路 由 ”列表 界面 ,显示 当前 子 虚 拟 
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系统 中 的 静态 路 由 列表 ,如 图 4-206 所 示 。 


添加 静态 路 由 [<] 
目的 地 址 / 掩 码 。 | 0.0.0.0/0.0.0.0 
类 型 ”@ 网 关 出 接口 
网 关 1 
权重 |1 


图 4-205 ”添加 静态 路 由 


对 台 本 天 网 5 天 未 So 下 么 | 凡 admin| EE | oOI 口 


i 

ee 

Btwiwii/m iD 功 以 6 理 了 本 
口 oooom L111 vael 静态 1 


图 4-206 子 虚 拟 系统 静态 路 由 列表 


(75) 继续 添加 子 虚 拟 系统 VSYS3 与 子 虚 拟 系统 VSYS2 的 路 由 信息 。 单 击 “ 十 添 
加 ”按钮 ,在 弹出 的 “添加 静态 路 由 ”界面 中 ,在 “目的 地 址 / 掩 码 ”中 输入 ge4 接口 连接 的 
IP 地 址 段 *172. 16. 2. 0/24”,“ 类 型 "选中 “网 关 " 单 选 按钮 ,在 "网关 ”中 输入 VSYS3 的 预 
定义 vgel 接口 IP 地 址 *1. 1. 1. 2”, 如 图 4-207 所 示 。 


添加 静态 路 由 加 | 
目的 地 址 / 撞 码 ”| 172.16.2.0/24 
类 型 ”加 网 关 出 接口 


图 4-207 添加 去 往 VSYS2 的 路 由 


(76) 单 击 “ 确 定 ” 按 钮 .返回 “静态 路 由 ”列表 界面 ,可 查看 添加 的 与 根 虚拟 系统 和 子 
虚拟 系统 VSYS2 的 路 由 信息 ,如 图 4-208 所 示 。 


面板 分 析 中 心 。 ”数据 中 心 。 ”处 年 中心 。 ”策略 配 告 。 ”对 使 配 盏 。 网 党 配 理 系统 本 二 仿 | 风 admin | 1@1 口 
静 志 路 由 

ED 目的 地 址 / 接 码 出 接口 声 议 权重 大寿 

口 Tz2162024 1112 vee1 茧 太 1 v 

口 oooom 1111 ve=1 草地 1 ~ 


图 4-208 VSYS2 静态 路 由 列表 
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(77) 配置 子 虚 拟 系统 VSYS3 的 安全 策略 。 单 击 “ 策 略 配 置 ”>“ 安 全 策略 ”, 显 示 当 
前 子 虚 拟 系统 VSYS3 中 的 安全 策略 列表 ,如 图 4-209 所 示 。 


安全 全 了 7 


we [wm (Gm [0m | [lm |(t ss |] (Cas ] re | 
图 sg 第 中 [本 和 目的 全 二 王 地 二 / 没 区 目 B9 地 地/ 地 区 夺 务 画 用 


图 4-209 子 虚 拟 系统 安全 策略 列表 


(78) 在 “安全 策略 "标签 页 中 , 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 安全 策略 ”界面 中 ， 
在 “名 称 ” 中 输入 “VSYS3 的 安全 策略 ”, 勾 选 “ 启 用 ” 复 选 框 ,将 “动作 ”选中 “拒绝 ” 单 选 按 
钮 ,将 “ 源 安全 域 “ 目 的 安全 域 “ 源 地 址 /地 区 ”目的 地 址 /地 区 ”服务 "和 “应 用 ” 均 设 置 
为 any, 如 图 4-210 所 示 。 


添加 安全 第 略 [x] 


名 称 | VSYS3 的 安全 策略 * (01-63 字 彻 


摘 述 _ 10-127 字 移 


动作 〇 fi 许 © 多 


服务 |any 
应 用 [any 
时 间 | 请 远近 时 间 ~| 


VLAN “| 请 给 和 VLAN 
他 值 范围 0-4094 , 格式 : 13.5-1012 
流量 日 志 。 口 ] 会 活 开始 。 品 ] 会 医 结 束 


4-210 配置 子 虚 拟 VSYS2 系统 安全 策略 


(79) 在 子 虚 拟 系统 VSYS3 中 配置 的 安全 策略 为 全 不 通 ,主要 用 于 与 子 虚 拟 系统 
VSYS2 的 全 通 策略 进行 对 比 , 实 际 使 用 时 以 网 络 安全 要 求 进行 配置 。 

(80) 单 击 “ 确 定 ” 按 钮 ,返回 “安全 策略 ”列表 ,显示 当前 的 安全 策略 列表 ,如 图 4-211 
所 示 。 


Ee ee Be [mat les en J Re a hn 
Dmesm om ~ ~ ~ ~ ~ se 


图 4-211 子 虚 拟 VSYS2 系统 安全 策略 列表 
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(81) 在 虚拟 系统 中 , 根 虚 拟 系统 和 子 虚 拟 系统 的 接口 名 称 均 为 默认 的 vgel ,需要 注 
意 区 分 , 根 虚 拟 系统 和 子 虚 拟 系统 之 间 是 通过 “1. 1. 1. 0” 网 段 进 行 通信 ,因此 根 虚拟 系统 
的 虚拟 接口 vgel 的 IP 地 址 为 “1. 1. 1. 1”, 子 虚拟 系统 中 的 虚拟 接口 vgel 的 IP 地 址 分 别 
为 “1.1.1.2” 和 “1. 1. 1. 3”, 通 过 建立 静态 路 由 实现 三 个 虚拟 系统 之 间 的 路 由 交换 。 


【实验 预期 】 
(1) 事业 一 部 主机 可 访问 外 网 Web 服务 器 。 
(2) 事业 二 部 主机 不 能 访问 外 网 Web 服务 器 。 


【实验 结果 】 
1) 事业 一 部 内 网 主机 访问 Web 服务 器 
(1) 登录 实验 平台 里 对 应 实验 拓扑 中 右 侧 上 方 的 虚拟 机 PC, 如 图 4-212 所 示 。 


事业 一 部 | 


ge3: 172.16.2.1/24 


子 虚 系 统 VSYS2 
VGE1: 1.1.1.2/24 


ge2: 124.16.8.2/24 
GW: 124.16.8.1 


根 虚 系统 VSYS1 
VGE1: 1.1.1.1/24 


PC1: 172.16.2.100/24 


124.16.8.1 


: 
ge4: 172.16.3.1/24 i 
s 子 虚 系 统 VSYS3 PC2: 172.16.3.100/24 
吧 VGE1: 1.1.1.3/24 | 
咏 : 
0 | 
事业 二 部 | 
Web 服 务 器 : 110.69.70.100/24 管理 机 : 10.0.0.44/24 
GW: 110.69.70.1 (以 实际 IP 地 址 为 准 ) 


图 4-212 登录 右 侧 虚拟 机 


(2) 在 虚拟 机 中 ,双击 桌面 的 火狐 浏览 器 快捷 图 标 ,运行 火狐 浏览 器 ,如 图 4-213 所 示 。 


图 4-213 运行 火狐 浏览 器 
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(3) 在 浏览 器 地 址 栏 中 输入 ge2 接口 连接 的 Web 服务 器 的 IP 地 址 “110. 69. 70. 
100”, 浏 览 器 可 显示 网 站 内 容 , 如 图 4-214 所 示 。 


同调 ESHOP 商 城 购物 系统 
Www-wqeshop.com 设 为 首页 | 收藏 只 | 网 物 车 | 简 | 繁 | 英 
新 闻 中 心 | 帮助 中 心 | 留言 荡 
[owas ll rr 
+ 网 奇 Eshop 5.5 了 版 隆重 出 炉 
+ 网 奇 Eshop 5.5 陋 隆 更 出 妒 人 
+ 网 麻 Eshop 5.5 隔 险 重 出 炉 早春 新 于 | 伞 扩 礼 级 
+ 网 奋 Eshop 5.5 手 重出 人 Lo 
+ 网 音 Eshop 5.5 乒 上 重出 -~ 花 庆 甘 包 -… 
+ 网 音 Eshop 5 版 隆 出 人 OL6 交 矶 | 可 下 手 约 
+ 网 亩 Eshop 5.5H 隆 王 出 炉 情侣 斋 呆 | GUESS 亲 孝昌 
一 美 客 化妆 
甘 隐 新 品 | 归 祁 护理 
被 夫 防 晴 | 防 季 王 
-和 
三 星 | 诺基亚 
摩 械 罗 位 | 案 呢 爱立信 
0 00 
国 i 二 So 二 
加 i ZIP 打 火 机 | 男 土 运动 
男士 应 辑 | 男士 箱包 
国 Pr 


图 4-214 子 虚 拟 系统 VSYS2 内 网 主机 访问 网 站 


(4) 综 上 所 述 , 子 虚 拟 系统 VSYS2 中 的 内 网 主机 ,可 通过 子 虚 拟 系统 和 根 虚拟 系统 
之 间 的 相关 系统 配置 和 安全 策略 ,实现 正常 上 网 访问 ,满足 预期 要 求 。 

2) 事业 二 部 内 网 主机 不 能 访问 Web 服务 器 

(1) 登录 实验 平台 里 对 应 实验 拓扑 中 右 侧 下 方 的 Windows XP 虚拟 机 ,如 图 4-215 
所 示 。 

(2) 在 虚拟 机 中 ,双击 桌面 的 火狐 浏览 器 快捷 图 标 ,运行 火狐 浏览 器 ,如 图 4-216 
所 示 。 

(3) 在 浏览 器 地 址 栏 中 输入 ge2 接口 连接 的 Web 服务 器 的 IP 地 址 为 "110. 69. 70. 
100”, 浏 览 器 无 法 显示 网 站 内 容 , 如 图 4-217 所 示 。 

(4) 综 上 所 述 , 子 虚 拟 系统 VSYS3 中 的 内 网 主机 ,通过 子 虚 拟 系统 和 根 虚拟 系统 之 
间 的 相关 系统 配置 和 安全 策略 ,实现 拒绝 上 网 访问 ,满足 预期 要 求 。 


【实验 思考 】 
(1) 虚拟 系统 分 配 资源 和 端口 时 的 注意 事项 有 哪些 ? 
(2) 子 虚 拟 系统 是 否 可 以 创建 下 级 子 虚 拟 系统 ? 
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124.16.8.1 


ge3: 172.16.2.1/24 


ge2: 124.16.8.2/24 子 虚 系统 VSYS2 


事业 一 部 


VGE1: 1.1.1.2/24 
GW: 124.16.8.1 


根 虚 系统 VSYS1 
VGE1: 1.1.1.1/24 一 


PC1: 172.16.2.100/24 


0 


ge4: 172.16.3.1/24 


子 虚 系 统 VSYS3 
VGE1: 1.1.1.3/24 


gel: 10.0.0.1/24 


Web 服 务 器 : 110.69.70.100/24 管理 机 : 10.0.0.44/24 


GW: 110.69.70.1 


沿 页 面 我 和 出 二 


{ 咏 宝 际 PP 地 直 为 准 ) 


图 4-215 登录 右 侧 虚拟 机 


专 ) Dunmmim 


EE 


| 


PC2: 172.16.3.100/24 


事业 二 部 


全 | 由 志 全 加 


人 @@O 才 扩 起 时 


110. 69. 70. 100 的 服务 器 响应 时 间 过 长 。 


不 可 用 或 者 六 忙 。 请 衫 后 再 试 . 
入 任何 页 面 ， 请 棕 查 您 计算 机 的 网 络 连 圭 。 


图 4-217 子 虚 拟 系统 VSYS3 内 网 主机 访问 网 站 
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4.3 ”数据 分 析 


4.3.1 防火 墙 会 话 管理 实验 


【实验 目的 】 
管理 员 可 以 通过 配置 防火 墙 的 会 话 限制 功能 ,限制 P2P 流量 的 并 发 连接 数 以 及 来 自 
外 网 或 限制 内 网 的 高 新 建 、 高 并 发 的 攻击 行为 ,以 保护 连接 表 不 被 DDoS 攻击 填 满 。 


【知识 点 】 
IP 并 发 连接 、IP 新 建 连接 会 话 。 


【场景 描述 】 

A 公司 搭建 了 一 项 新 的 服务 ,由 于 经 费 不 足 ,暂时 用 一 台 性 能 比较 低 的 服务 器 运行 
了 这 项 新 服务 。 运 行 一 段 时 间 后 ,安全 运 维 工程 师 发 现 ,这 台 服 务 器 老 是 停止 服务 ,检查 
发 现 内 网 有 一 台 PC 中 了 病毒 ,不 停 地 和 这 人 台 服 务 器 建立 会 话 连接 ,导致 服务 器 资源 耗 
尽 。 请 思考 应 如 何 通 过 配置 防火 墙 解决 这 个 问题 。 

【实验 原理 】 

会 话 限制 规则 基于 安全 域 , 主 要 针对 安全 域 中 的 IP 地 址 进行 连接 数 的 限制 。 会 话 限 
制 规则 支持 单个 IP 地 址 设置 并 发 和 新 建 限制 ,也 可 以 对 网 段 内 的 所 有 IP 设置 总 计 的 并 
发 和 新 建 限制 。 


【实验 设备 】 
。 安全 设备 : 防火 墙 设备 1 台 。 
。 主机 终端 : Windows 7 主机 2 台 ,Windows Server 2003 SP1 主机 1 台 。 


【实验 拓扑 】 
实验 拓扑 如 图 4-218 所 示 。 


CG] gel: 10.0.0.1 


管理 机 : 10.0.0.44/24 
(以 实际 人 P 地 址 为 准 ) 


ge3: 172.16.3.1 | 


Web 服 务 器 : 172.16.3.100/24 


ge2: 192.16.2.1 


PC: 192.16.2.100/24 
4-218 防火墙 会 话 管理 实验 拓扑 
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【实验 思路 】 

(1) 配置 防火 墙 ge3 接口 处 于 untrust 安全 域 。 

(2) 配置 防火 墙 ge2 接口 处 于 trust 安全 域 。 

(3) 配置 基于 trust 域 的 会 话 限制 。 

(4) ge2 接口 内 的 主机 访问 ge3 接口 所 连 服务 器 搭建 的 网 站 。 


【实验 要 点 】 
下 一 代 防 火 墙 管理 员 可 以 单 击 * 策 略 配置 ”一 "会 话 限制 ”添加 会 话 限制 策略 以 实现 
防火 墙 的 会 话 限制 功能 。 


【实验 步骤 】 

(1) 一 (3) 登录 并 管理 防火 墙 ,检查 防火 墙 的 工作 状态 。 

(4) 单 击 面板 上 方 导航 栏 中 的 “网 络 配 置 ”, 单 击 ge2 右 侧 “操作 ”中 的 笔 形 标志 ,编辑 
ge2 接口 。 

(5) 本 实验 中 ,ge2 接口 模拟 连接 公司 内 部 网 络 中 的 一 台 计 算 机 ,因此 将 ge2 口 IP 设 
置 为 “192. 16. 2.1”,“ 子 网 掩 码 ”输入 “255. 255. 255. 0”,“ 安 全 域 ” 为 trust, 后 续 步 又 按照 
此 要 求 进行 调整 。 在 “编辑 物理 接口 "界面 中 ,“ 工 作 模 式 ” 选 中 “路 由 模式 " 单 选 按 钮 , 单 击 
本 地 地 址 列表 中 的 IPv4 标签 列表 中 的 “十 添加 ”按钮 。 如 果 已 有 IP 地 址 的 设置 , 则 单 击 
IP 地 址 右 侧 “操作 ”的 笔 形 标志 , 视 具体 情况 决定 ,其 他 保持 默认 配置 。 

(6) 在 “添加 IPv4 本 地 地 址 ”界面 中 ,输入 本 实验 设 定 的 IP 地 址 *192. 16. 2. 1”, 该 地 
址 用 于 与 实验 虚拟 机 通信 ,输入 “* 子 网 掩 码 ” 为 *255. 255. 255.0”,“ 类 型 "默认 为 float, 如 
图 4-219 所 示 。 


和 添加 IPv4 本 地 地 址 x 


本 地 地 址 192.16.2.1 
于 网 失 码 | 255.255.255.0 
类 型 。 [float ~ 


Cee Cw] 


图 4-219 ”编辑 ge2 接口 IP 地 址 参数 


(7) 单 击 “确定 ”按钮 ,返回 “编辑 物理 接口 ?界面 ,再 单 击 “ 确 定 ” 按 钮 ,关闭 “编辑 物理 
接口 ?界面 。 

(8) 在 本 实验 中 ,ge3 口 用 于 模拟 连接 Web 服务 器 ,因此 将 ge3 口 IP 设置 为 “172. 
16. 3. 1”,“ 子 网 掩 码 ”输入 “255. 255. 255.0”, 将 “安全 域 ”设置 为 untrust, 后 续 步 又 按照 此 
要 求 进行 调整 。 在 “编辑 物理 接口 "界面 中 ,“ 工 作 模 式 ” 选 中 “路 由 模式 ” 单 选 按钮 , 单 击 本 
地 地 址 列表 中 的 IPv4 标签 列表 中 的 “十 添加 ?按钮 。 如 果 已 有 IP 地 址 设置 , 则 单 击 IP 地 
址 右 侧 * 操 作 ? 的 笔 形 标志 , 视 具体 情况 决定 ,其 他 保持 默认 配置 。 

(9) 在 “添加 IPv4 本 地 地 址 ”中 ,输入 本 实验 设 定 的 IP 地 址 “172. 16. 3. 1”, 该 地 址 用 
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于 与 Web 服务 器 通信 ,输入 “ 子 网 掩 码 ” 为 “255. 255. 255. 0”,“ 类 型 "默认 为 float, 如 
图 4-220 所 示 。 


添加 IPv4 本 地 地 址 [9 
本 地 地 址 [172.16.3.1 " 
子 网 掩 码 [255.255.255.0 加 
类 型 [float 和 


确定 取消 


图 4-220 ”编辑 ge3 接口 IP 地 址 参数 


(10) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 ,确定 接口 的 相关 信息 准确 无 误 后 ， 
再 单 击 “ 确 定 ” 按 钮 ,返回 接口" 界面。 查看 ge2 和 ge3 接口 信息 ,如 图 4-221 所 示 。 


La Me 。 fc80=21631fKfeel:6s67/654 © ‘trust 图 加 加 1 区 了 
172163.1/255255.2550 5 
Le MM jeg0-21631ftfeel:6068/64 © net 国 目 日 1 区 ed 


图 4-221 查看 ge2 和 ge3 接口 信息 


(11) 单 击 面板 上 方 导航 栏 中 的 “策略 配置 ”, 单 击 左 侧 的 “安全 策略 ”。 在 “安全 策略 ” 
界面 中 , 单 击 “ 十 添加 ”按钮 ,添加 安全 策略 ,如 图 4-222 所 示 。 


Mrs [Ed] Sm (Dm ] [本 于 ] [La 和 ss 到 | (Cm ] 
国志 全 认 延 :sm 天 安仁 日 的 安全 村 天 地 址 /地 区 目的 地 址 /地 区 服务 


第 | ] RE 页 RE5SM 20 ~| 


图 4-222 添加 安全 策略 


(12) 在 “添加 安全 策略 ”界面 中 ,在 “名 称 ” 中 输入 “会 话 管理 ”, 其 他 保持 默认 配置 ,如 
图 4-223 所 示 。 
(13) 单 击 “ 确 定 ” 按 钮 ,关闭 “添加 安全 策略 "界面 。 单 击 左 侧 的 “会 话 限制 ”, 在 “会 话 
限制 "界面 中 , 单 击 “ 十 添加 ”按钮 .添加 会 话 限制 ,如 图 4-224 所 示 。 
(14) 在 “添加 会 话 限 制 ” 界 面 中 .在 “名 称 ” 中 输入 “会 话 限 制 ”。 勾 选 “启用 ” 复 选 框 ， 
“方向 ”选中 “双向 ” 单 选 按钮 ,将 “IP 地 址 ”设置 为 any,“ 应 用 ”设置 为 any,“ 安 全 域 ” 设 置 
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V mam 会 话 慑 抽 会 话 限制 统计 


国 Nr [+xw ][Due |][ 13m ]LCa ] 
国 安全 名 本 万 向 安全 起 人 P 地 址 


国 ssuxg 才 生 咯 
间 IP-wcm 定 
国 oos 

时 白 各 单 


辐 安全 所 坊 


图 4-224 ”添加 会 话 限制 


I 4 | 车 上 | 页 关 1 页 | 》 | 各 页 明示 条 炒 [ 20 ~ Rs 


为 trust， 每 IP 并 发 "设置 为 1, 其 他 保持 默认 配置 ,这样 设置 使 得 每 个 trust 域 的 IP 只 能 


新 建 一 个 连接 , 单 击 “ 确 定 ” 按 钮 ,会 话 管理 配置 完成 ,如 图 4-225 所 示 。 


【实验 预期 】 


当 虚 拟 机 的 IP 地 址 并 发 或 新 建 的 连接 数 超过 所 限制 的 阔 值 时 ,超过 阔 值 的 链接 将 会 


丢失 。 
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名 称 | 会 二 限制 * (1-63 字 符 ) 


描述 (127 字 简 


图 4-225 设置 会 话 限制 


【实验 结果 】 
(1) 进入 实验 平台 对 应 的 实验 拓扑 , 单 击 下 方 的 虚拟 机 ,进入 PC, 如 图 4-226 所 示 。 


gel: 10.0.0.1 ge3: 172.16.3.1 


管理 机 : 10.0.0.44/24 


Web 服 务 器 : 172.16.3.100/24 
(以 实际 耳 地 址 为 准 ) 


PC: 192.16.2.100/24 
图 4-226 打开 实验 虚拟 机 


(2) 进入 实验 虚拟 机 ,打开 火狐 浏览 器 ,在 地 址 栏 中 输入 “172. 16. 3. 100” 后 按 
Enter 键 , 成 功 访问 CMS 服务 器 网 站 ,如 图 4-227 所 示 。 

(3) 单 击 “开始 ”命令 提示 符 ”, 输 入 命令 “ping172. 16. 3. 100”, 访 问 CMS 服务 器 ， 
同时 不 断 单 击 火 狐 浏 览 器 上 已 访问 链接 右 方 的 红 框 按钮 ,保持 连接 生效 ,如 图 4-228 
所 示 。 


(4) 在 “命令 提示 符 ” 界 面 ,发 现 无 法 ping 通 CMS 服务 器 ,这 说 明 设置 生效 ,如 
图 4-229 所 示 。 
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(©) © | 172.16.3.100/index.php 


系统 1 隐 丸 。 [ 任 半 注册 | 保存 到 总 面 。 网 站 首页 


加 名 N59 一 


招聘 信息 微 招聘 。 ”求职 信息 。“ HR 工具 征 ”新 闻 资讯 。 会员 中 心 。 进入 论坛 


:网 站 首页 
搜索 职位 企业 总 至 :; 0 有 效 职位 : 0 有 效 篇 历 : 0 会 员 总 数 :0 


商 妨 入 各 应 全 各 、 公 司 名称、 扶 本 特长 .全 攻 鞍 天 委 宁 


热门 关键 闻 ; 挡 拓 代表 簿 个 经 理 公 计 移 丁 工程 丘 簿 后 助理 


医 新 下 玛 而 历 讼 下载 了 后 的 物 历 ?世上 过 五 音 知 。。 本 周 执 点 职位 Eg 


图 4-228 保持 网 页 连接 生效 


【实验 思考 】 
(1) 怎样 设置 可 使 每 个 IP 地 址 的 并 发 数 不 能 超过 8 个 ? 
(2) 怎样 设置 可 使 所 有 IP 地 址 的 并 发 数 不 能 超过 100 个 ? 
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图 4-229 无 法 ping 通 CMS 服务 器 


4.3.2 防火 墙 日 志 管 理 实验 

【实验 目的 】 

管理 员 通 过 查看 防火 墙 中 的 日 志 信息 ,能 够 详细 了 解 防火 墙 功 能 的 发 挥 情况 以 及 防 
火 墙 针 对 不 同 网 络 情况 所 产生 的 行为 


【实验 场景 】 
因 安全 运 维 工程 师 的 徒弟 小 黄 不 会 使 用 防火 墙 日 志 , 安 全 运 维 工 程 师 在 对 其 进行 防 


火 墙 设备 技术 培训 时 专门 讲解 了 防火 墙 的 日 志 , 防 火 墙 的 数据 中 心 完整 地 记录 了 防火 墙 
设备 所 产生 的 行为 ,并 按照 某 种 规范 表达 出 来 ,在 其 提供 的 不 同 格式 的 日 志 数据 中 ,通常 
包含 产生 时 间 ,协议 类 型 、 源 地 址 .目的 地 址 等 。 请 思考 防火 墙 记录 的 日 志 数 据 有 哪 
几 种 ,分 别 记录 了 防火 墙 的 哪些 行为 

【实验 原理 】 

防火 墙 管 理 员 可 以 对 防火 墙 产生 的 各 种 日 志 数 据 进 行 查询 操作 并 对 日 志 数 据 进 行 分 
析 , 以 了 解 防 火 墙 功能 的 发 挥 情 况 及 当前 的 网 络 环境 

【实验 设备 】 

。 安全 设备 : 防火 墙 设备 1 台 。 

。 主机 终端 : Windows Server 2003 SP1 主机 2 台 ,Windows 7 主机 1 台 。 

【实验 拓扑 】 

实验 拓扑 如 图 4-230 所 示 。 


【实验 思路 】 
(1) 配置 关键 字 组 。 
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mm -| 


= NGFW 一 
PC: 172.16.2.100/16 CMS 服 务 器 : 172.16.3.100/16 


( 


gel: 10.0.0.1/24 


管理 机 : 10.0.0.44/24 
(以 实际 IP 地 址 为 准 ) 
图 4-230 防火墙 日 志 管理 实验 拓扑 


(2) 配置 防火 墙 URL 过 滤 规 则 。 

(3) 配置 安全 策略 并 引用 URL 过 滤 策 略 。 

(4) 增加 全 通 策略 。 

(5) 查看 并 分 析 日 志 。 

【实验 要 点 】 

下 一 代 防 火 墙 管理 员 可 单 击 “ 数 据 中 心 ” 一 “日 志 ”, 查 看 因 防火 墙 产 生 流量 、 受 到 威 
胁 、 过 滤 URL 过滤 邮件 ,过滤 内 容 ,. 事 件 发 生 等 产生 的 日 志 数 据 。 


【实验 步 又】 

(1) 一 (3) 登录 并 管理 防火 墙 ,检查 防火 墙 的 工作 状态 。 

(4) 单 击 面板 上 方 导航 栏 中 的 “网 络 设置 ”, 单 击 左 侧 菜 单 栏 中 的 VLAN, 显 示 当 前 的 
VLAN 配置 , 单 击 VLAN 界面 中 的 “十 添加 ”按钮 ,添加 VLAN 配置 ,如 图 4-231 所 示 。 


新 一 代 智 慧 防火 墙 其 


€) Da hps/ioool [IEE3 


[| 


[3 


注 括 


名 称 骂 定 技 口 


> DNS 


图 4-231 VLAN 界面 


(5) 在 弹出 的 “添加 VLAN” 界 面 中 ,在 “VLAN ID? 中 输入 1, 其 他 参数 保持 默认 值 即 
可 , 单 击 “确定 ?按钮 ,如 图 4-232 所 示 。 
(6) 单 击 “ 确 定 ” 按 钮 后 返回 VLAN 界面 ,显示 添加 的 VLAN 信息 ,如 图 4-233 所 示 。 
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添加 VLAN x]| 


卫 加 方式 。 加 单个 VLAN 。 〇 连 不 VLAN 


ANID |1 | -4094) 
Ha 组 |0 ~ 


IGMP Snooping 。” 癌 启 用 


图 4-232 添加 VLAN 
ViAN 
Dump | 名 下 | 又 定 接口 HA | IGMNP Snooping 引用 | 反 作 
Ot vant 902, 963, 994, 995, ge6, go7, go8 0 X 0 a 


图 4-233 VLAN 列表 


(7) 单 击 面板 上 方 导航 栏 中 的 “网 络 配 置 " 一 “接口 ”, 单 击 ge2 右 侧 “操作 ”中 的 笔 形 
图 标 ,编辑 ge2 接口 ,如 图 4-234 所 示 。 


ES [FE = 
nm Daw In A aa 人 wa | a Sr 
潍 负 四 aaa 国 四 国 o 
Bos 2) 二 加 国 可 
EE 2 EE 站 怠 
Ls me cn 图 国 国 日 加 。 A 


图 4-234 ”编辑 ge2 接口 


(8) 本 实验 中 ge2 接口 模拟 连接 一 台 计 算 机 ,在 “编辑 物理 接口 "界面 中 ,将 “工作 模 
式 ” 设 置 为 “交换 模式 ”, 将 “模式 ”设置 为 Access, 将 VLAN 设置 为 vlan1, 其 他 保持 默认 配 
置 , 单 击 “ 确 定 ” 按 钮 。 

(9) 单 击 “ 确 定 ” 按 钮 后 ,返回 “接口 "列表 界面 ,继续 单 击 ge3 接口 旁 的 笔 形 标志 , 编 
辑 ge3 接口 信息 。 本 实验 中 ,ge3 接口 用 于 模拟 连接 CMS 服务 器 ,在 “编辑 物理 接口 " 界 
面 中 ,“ 工 作 模 式 ” 选 中 “交换 模式 ” 单 选 按钮 ,将 “模式 ”设置 为 Access, 将 VLAN 设置 为 
vlan1, 其 他 保持 默认 配置 , 单 击 “ 确 定 ”按钮 。 

(10) 单 击 面板 上 方 导航 栏 中 的 * 策 略 配置 ”, 单 击 左 侧 的 “安全 策略 ”, 在 “安全 策略 ” 
界面 中 单 击 “ 添 加 ”按钮 ,添加 安全 策略 ,如 图 4-235 所 示 。 

(11) 在 “添加 安全 策略 ”界面 中 ,在 “名 称 ” 中 输入 “日 志 管 理 ”. 将 “ 源 安全 域 " 设 置 为 
any,ge2 接口 在 该 域 中 ,将 “目的 安全 域 " 设 置 为 any,ge3 接口 在 该 域 中 , 单 击 “ 确 定 ” 按 
钮 ,如 图 4-236 所 示 。 

(12) 单 击 面板 上 方 导航 栏 中 的 “对 象 配 置 ”, 单 击 左 侧 的 “关键 字 组 ”, 在 “关键 字 组 ” 
界面 中 , 单 击 “ 十 添加 ”按钮 ,添加 关键 字 组 ,如 图 4-237 所 示 。 
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图 4-235 “安全 策略 ”界面 


添加 安全 第 略 [sm | 
A 
名 称 | 日志 管理 上 0-63 字 知 ) 
搞 述 ]o 127 字 符 ) 
启用 ”加 
动作 i 允许 〇 拒绝 〇 安全 连接 健 道 ) 
源 安全 域 | any 
目的 安全 域 “| any 


时 间 。 | 请 选择 时 间 


VLAN 。 | 请 给 AVLAN 
(他 信 范 围 0-4094 , 格式 : 1.3.5-10.12) 


图 4-236 ”添加 安全 策略 


(13) 在 “添加 关键 字 组 ”界面 中 ,在 “名 称 ” 中 输入 *URL 关键 字 ”, 将 “命中 数 ” 设 置 为 
1, 将 “匹配 条 件 ” 设 置 为 “只 要 有 一 个 关键 字 命 中 ”, 单 击 “ 十 添加 ”按钮 ,添加 自 定义 关键 
字 , 如 图 4-238 所 示 。 

(14) 在 “添加 自 定义 关键 字 ” 界 面 .在 “名 称 ” 中 输入 “关键 字 1”, 将 “匹配 模式 ”设置 为 
“文本 ”, 将 “匹配 串 ” 设 置 为 “172. 16. 3. 100/news/index. php”。 单 击 “ 确 定 ” 按 钮 ,返回 
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图 4-237 添加 URL 分 类 


添加 关键 宁 组 
名 称 “【URL 基 刍 李 下 0-63 闻 知 ) 
命中 数 [I (1-100) 


图 4-238 “添加 关键 字 组 ”界面 


“添加 关键 字 组 ”界面 ,再 单 击 “ 确 定 ” 按 钮 ,返回 “关键 字 组 "界面. 单 击 “ 提 交 ” 按 钮 ,使 配置 


生效 ,如 图 4-239 所 示 。 

(15) 单 击 面板 上 方 导航 栏 中 的 “对 象 配 置 ”, 单 击 左 侧 的 “安全 配置 文件 ”, 选 择 *“URL 
过 滤 ”。 在 “URL 过 滤 ” 界 面 中 , 单 击 “ 添 加 ”按钮 ,在 弹出 的 “添加 URL 过 滤 ” 界 面 中 ,在 
“名 称 ” 中 输入 “URL 过 滤 ”, 将 “动作 ”设置 为 “日 志 ”, 选 择 “ 关 键 字 组 ”, 单 击 “ 十 添加 ” 按 


钮 ,添加 关键 字 组 ,如 图 4-240 所 示 。 
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图 4-240 编辑 URL 过 滤 


(16) 在 “添加 关键 字 组 ”界面 中 ,在 “名 称 ” 中 输入 “规则 ”, 将 “关键 字 ” 设 置 为 “URL 
关键 字 ”, 将 “动作 ”设置 为 日志”, 单 击 “ 确 定 ” 按 钮 .如 图 4-241 所 示 。 


图 4-241 添加 关键 字 组 


(17) 返回 “添加 URL 过 滤 ” 界 面 , 单 击 “确定 ”按钮 ,返回 "URL 过 滤 ” 界 面 。 单 击 面 
板 上 方 导航 栏 中 的 “策略 配置 ”, 再 单 击 左 侧 的 “安全 策略 ”, 在 “安全 策略 ”界面 中 单 击 名称 
为 "日志 管理 ”的 安全 策略 ,如 图 4-242 所 示 。 

(18) 进入 “编辑 安全 策略 "界面 , 单 击 “ 高 级 ”. 将 “配置 文件 类 型 "设置 为 “安全 配置 文 
件 ”, 将 "URL 过滤” 设置 为 “URL 过 滤 ”, 如 图 4-243 所 示 。 

(19) 单 击 “ 确 定 ” 按 钮 ,关闭 “编辑 安全 策略 ”界面 。 单 击 面板 上 方 导航 栏 中 的 “对 象 
配置 ”, 单 击 左 侧 的 “关键 字 组 ”, 在 “关键 字 组 ”界面 中 单 击 “ 添 加 ”按钮 ,添加 关键 字 组 ,如 
图 4-244 所 示 。 
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图 4-243 编辑 安全 策略 


(20) 在 “编辑 关键 字 组 ”界面 中 ,在 “名 称 ” 中 输入 “敏感 词 ”", 将 “命中 数 ” 设 置 为 ”1”， 
将 “匹配 条 件 ” 设 置 为 “只 要 有 1 个 关键 字 命 中 ”。 单 击 “ 添 加 ”按钮 ,添加 关键 词 ,如 
图 4-245 所 示 。 

(21) 在 “添加 自 定义 关键 字 ” 界 面 中 ,在 “名 称 ” 中 输入 “关键 词 ", 将 “匹配 模式 ”设置 
为 “文本 ”, 将 “匹配 串 ”设置 为 “博彩 产业 入 口 ?, 说 明 要 过 滤 的 关键 字 是 “博彩 产业 入 口 ”， 
如 图 4-246 所 示 。 

(22) 单 击 “ 确 认 ” 按 钮 添加 完成 .返回 “编辑 关键 字 组 ”界面 ,再 单 击 “ 确 定 ” 返 回 “ 关 键 
字 组 ”界面 。 单 击 “ 提 交 ” 按 钮 ,使 设置 生效 ,如 图 4-247 所 示 。 

(23) 单 击 面板 上 方 导航 栏 中 的 “对 象 配置 ”, 再 单 击 左 侧 的 “安全 配置 文件 ”, 选 择 “ 内 
容 过 滤 ”, 在 “内 容 过 滤 ” 界 面 单 击 “ 十 添加 ”按钮 ,添加 内 容 过 滤 , 如 图 4-248 所 示 。 


285 


防火 墙 技术 及 应 用 实验 指导 


] (1-100) 


图 4-245 ”添加 关键 词 
[二 日 
名 称 “| 关键 词 * (1-63 字 符 ) 
四 模式 | 文本 4 
四 下。 | 博彩 产业 入 口 | “ (1-63 地 彻 
确定 取消 
图 4-246 配置 关键 词 


286 


第 4 章 防火 墙 高 级 应 用 


加 
sa 关键 字 坦 预定 文 关键 宇 坦 
so w]e]Ccw eer [Rn Ey 
地 址 坦 EE 页 中 竹 下 用 拔 作 
站 a i < 
和 ’ 
een 


me 
[Eom cm] Er 
Si 3 操作 


aa % 4 NIN 用 RES 人 20 0 


图 4-248 添加 内 容 过 滤 
(24) 在 “编辑 内 容 过 滤 ” 界 面 中 ,在 “名 称 ” 中 输入 “内 容 过 滤 ”, 单 击 “ 十 添加 ”按钮 , 添 
加 内 容 过 滤 规则 ,如 图 4-249 所 示 。 


篇 辑 内 容 过 通 国 
名 称 | 内容 过 汪 


拓 述 
ma 
名 称 应 用 关键 字 文件 类 型 方向 “动作 | 操作 


(0-16 项 


图 4-249 添加 内 容 过 滤 规 则 


(25) 在 “添加 规则 ”界面 中 .在 “名 称 ” 中 输入 “规则 一 ”, 将 “应 用 ”设置 为 HTTP,“ 关 
键 字 ” 设 置 为 “敏感 词 ", “文件 类 型 "设置 为 html,“ 动 作 ” 设 置 为 “日 志 ”, 其 他 保持 默认 配 
置 ,如 图 4-250 所 示 。 
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文件 类 型 | 全 部 ”| | 请 输入 坦 询 内 容 


方向 [双向 


确定 取消 
图 4-250 设置 内 容 过 滤 规 则 


(26) 单 击 * 确 定 ” 按 钮 ,返回 “编辑 内 容 过 滤 ” 界 面 ,再 单 击 * 确 定 ?按钮 ,返回 “内 容 过 
滤 ” 界 面 ,发 现成 功 添加 了 一 条 内 容 过 滤 信 息 , 如 图 4-251 所 示 。 
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图 4-251 查看 内 容 过 滤 


(27) 单 击 面板 上 方 导航 栏 中 的 “策略 配置 ”, 再 单 击 左 侧 的 “安全 策略 ,在 “安全 策 
略 ? 界 面 中 单 击 名 称 为 “日 志 管 理 ” 的 安全 策略 ,如 图 4-252 所 示 。 

(28) 进入 “编辑 安全 策略 "界面 ,“ 流 量 日 志 ” 勾 选 “ 会 话 开 始 ”“ 会 话 结束 ” 复 选 框 , 单 
击 “ 高 级 ”, 将 “配置 文件 类 型 "设置 为 “安全 配置 文件 ”“ 内 容 过 滤 ” 设 置 为 ^ 内 容 过 滤 ”, 如 
图 4-253 所 示 。 
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图 4-252 打开 安全 策略 
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图 4-253 ”编辑 安全 策略 


(29) 单 击 “ 确 定 ” 按 钮 ,返回 “安全 策略 ”界面 .完成 内 容 过 滤 的 全 部 配置 。 

(30) 单 击 面板 上 方 导航 栏 中 的 “对 象 配 置 ”, 单 击 左 侧 的 “关键 字 组 ”, 在 “关键 字 组 ” 
界面 中 单 击 “ 添 加 ”按钮 ,添加 关键 字 , 如 图 4-254 所 示 。 

(31) 在 “编辑 关键 字 组 "界面 中 ,设置 “名 称 ” 为 “关键 字 组 1”,“ 命 中 数 ” 为 1, “匹配 条 
件 ” 为 “只 要 有 1 个 关键 字 命 中 ”, 单 击 “ 添 加 ”按钮 ,添加 关键 字 , 如 图 4-255 所 示 。 

(32) 在 “添加 自 定义 关键 字 ” 界 面 中 ,设置 “名 称 ” 为 “关键 字 ”, “匹配 模式 ”为 “文本 ”， 
“匹配 串 ” 为 xiaoming, 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 关键 字 组 ”界面 , 单 击 “ 确 定 ” 按 钮 , 返 
回 “ 关 键 字 组 ”界面 ,如 图 4-256 所 示 。 
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4-255 ”编辑 关键 字 组 界面 


图 4-256 添加 自 定义 关键 字 之 一 
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(33) 在 “关键 字 组 ”界面 中 单 击 “ 添 加 ”按钮 ,在 “编辑 关键 字 组 ”界面 中 ,设置 “名 称 ” 
为 “关键 字 组 2”,“ 命 中 数 ” 为 1, “匹配 条 件 ” 为 “只 要 有 1 个 关键 字 命 中 ”, 单 击 “ 添 加 ” 按 
钮 ,添加 关键 字 , 如 图 4-257 所 示 。 


添加 关键 字 组 [x] 
名 称 ”| 关键 字 组 2 0-63 字 知 
命 数 “|1 (1-100) 
四 本 条 件 。 | 只 要 有 1 个 关键 字 命 中 ~ 
自 定义 关键 字 列表 Ea 
名 称 PR 区 9 
没有 记录 
(0-32 项 ) 
确定 取消 


图 4-257 编辑 关键 字 组 


(34) 在 “添加 自 定义 关键 字 ” 界 面 中 ,设置 “名 称 ”为 “关键 字 ”,“ 匹 配 模式 ”为 “文本 ”， 
“匹配 串 ” 为 xiaofang, 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 关键 字 组 "界面 , 单 击 “ 确 定 ” 按 钮 ,返回 
“关键 字 组 ”界面 , 单 击 “ 提 交 ” 按 钮 ,如 图 4-258 所 示 。 


图 4-258 添加 自 定义 关键 字 之 二 


(35) 单 击 面板 上 方 导航 栏 中 的 “对 象 配置 ”, 单 击 左 侧 的 “安全 配置 文件 ”, 选 择 “ 邮 件 
过 滤 ”。 在 “邮件 过 滤 ” 界 面 中 , 单 击 “ 添 加 ”按钮 ,添加 邮件 过 滤 规 则 ,如 图 4-259 所 示 。 

(36) 在 “编辑 邮件 过 滤 ” 界 面 中 ,设置 “名 称 ”为 “邮件 过 滤 ”,“ 上 默认 动作 ”为 “日 志 ”, 单 
击 “ 十 添加 ”按钮 ,添加 邮件 过 滤 策 略 ,如 图 4-260 所 示 。 

(37) 在 “编辑 策略 列表 ”界面 中 ,在 “名 称 ” 中 输入 “邮件 过 滤 1”,“ 发 件 人 关键 字 ” 为 
“关键 字 组 2”,“ 收 件 人 关键 字 ” 为 “关键 字 组 1”,“ 操 作 方 式 ” 为 “接收 ”,“ 上 默认 动作 ”为 “日 
志 ”, 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 邮件 过 滤 ” 界 面 , 单 击 “ 确 定 ” 按 钮 ,如 图 4-261 所 示 。 

(38) 单 击 面板 上 方 导航 栏 中 的 “策略 配置 ”, 再 单 击 左 侧 的 “安全 策略 ”, 在 “安全 策 
略 ? 界 面 中 单 击 名 称 为 “日 志 管 理 ” 的 安全 策略 ,如 图 4-262 所 示 。 

(39) 在 “编辑 安全 策略 ”界面 中 ,设置 “配置 文件 类 型 ”为 “安全 配置 文件 ”,“ 邮 件 过 
滤 ” 为 “邮件 过 滤 ”, 单 击 “ 确 定 ” 按 钮 ,如 图 4-263 所 示 。 
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图 4-259 添加 邮件 过 滤 规 则 
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图 4-261 编辑 策略 列表 
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图 4-262 “安全 策略 ”界面 
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和 内容 过 洲 。 | 内容 过 梁 ~ 
文件 过 二 | ~ 
Wp | pH | 
行为 和 过 | ~ 
长 连接 口 ] 局 用 
讽 定 


图 4-263 “编辑 安全 策略 "界面 


(40) 返回 “安全 策略 ”界面 , 单 击 “ 十 添加 ”按钮 ,添加 安全 策略 。 在 “编辑 安全 策略 ” 
界面 中 ,在 “名 称 ” 中 输入 “全 通 策略 ”, 如 图 4-264 所 示 。 
(41) 单 击 “ 确 定 ” 按 钮 ,配置 完成 。 


【实验 预期 】 

(1) 防火 墙 在 URL 过 滤 后 会 产生 相应 的 日 志 数据 ,根据 日 志 分 析 详细 信息 。 
(2) 防火 墙 在 内 容 过 滤 后 会 产生 相应 的 日 志 数 据 ,根据 日 志 分 析 详 细 信息 。 
(3) 防火 墙 在 邮件 过 滤 后 会 产生 相应 的 日 志 数 据 , 根 据 日 志 分 析 详 细 信息 。 
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名 称 | 全 还 策略 * (1-63 字 知 ) 
摘 述 (0-127 字 稳 


〇 安全 连接 仍 道 ) 


J 
Ws 
Le 
时 
[日 


图 4-264 ”编辑 安全 策略 
(4) 对 防火 墙 进行 配置 后 会 产生 相应 的 日 志 数据 ,根据 日 志 分 析 详 细 信 息 。 
【实验 结果 】 
1) 产生 URL 记录 
(1) 单 击 左 侧 的 虚拟 机 ,进入 PC, 如 图 4-265 所 示 。 


PC: 172.16.2.100/16 


CMS 服 务 器 : 172.16.3.100/16 


管理 机 : 10.0.0.44/24 
(以 实际 下 地 址 为 准 ) 


图 4-265 进入 左 侧 虚拟 机 


(2) 在 虚拟 机 PC 中 ,打开 IE 浏览 器 ,在 地 址 栏 中 输入 "172. 16. 3. 100”, 按 Enter 键 ， 
单 击 “ 新 闻 资 讯 ”栏目 ,发 现 URL 变 为 “172. 16. 3. 100/news/”, 它 的 全 名 为 “172. 16. 3. 
100/news/index. php”, 如 图 4-266 所 示 。 
(3) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 防火 墙 产品 的 下 地址 https: //10. 0.0.1” 
(以 实际 设备 IP 地 址 为 准 ), 进 入 防火 墙 的 登录 界面 。 输 入 管理 员 用 户 名 admin 和 密码 
“11fw@2soc# 3vpn” 登 录 防 火 墙 。 登 录 界 面 如 图 4-267 所 示 。 
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文件 四 编辑 四 ”查看 外 ”历史 加 


加 骑 二 PiP 丙 请 人 才 系 纺 ne， 


图 |1T2.48.3 1001inder rhe 


坎 迎 来 到 骑士 人 才 系统 ! 。 共 列 [多 费 广 册 ] 埋 存 到 这 面 | 网 站 首页 | 帮助 | 图 手机 类 这 | Q 搜索 ~ 


人 | 尚 现 厂 展 


招聘 信息 微 招 聘 。 ”求职 信息 。 职工 具 箱 。 “招聘 会 。 新 闻 资 讯 。 会 员 中 心 。 博 果 中 心 


搜索 职位 主 业 总 类: 0 有 qz 0 有 ME. 1 人 5 0 | 国人 区 填写 简历 
二 更 打 品 人。 写 放 要 人 宁 四 从 2 NN 

热门 关键 宇 : 销售 代表 销售 经 理 会 计 销售 工程 师 销售 助理 适 活 搜索 职位 。 “ 按 标 符 搜 索 职位 

最 新 下 载 简历 从 下 载 了 和 的 简历 * 与 上 王 于 宰 夺 本 周 热点 职位 更 所 


图 4-266 成 功 访问 目标 网 页 


新 一 代 智 慧 防火 墙 


图 4-267 防火 墙 登录 界面 


(4) 为 提高 防火 墙 系 统 的 安全 性 ,如 果 用 户 用 默认 密码 登录 防火 墙 , 防 火 墙 会 提示 用 
户 修改 初始 密码 ,本 实验 是 在 这 里 单 击 “ 取 消 ” 按 钮 ,如 图 4-268 所 示 。 

(5) 单 击 面板 上 方 的 “数据 中 心 ”, 单 击 左 侧 的 “URL 过 滤 日 志 ”, 在 “URL 过 滤 日 志 ” 
界面 中 看 到 访问 目标 网 页 的 记录 。 单 击 图 中 标记 记录 的 左 侧 灰 色 眼 形 图 标 ,如 图 4-269 
所 示 。 

(6) 在 弹出 的 “详细 信息 ”界面 ,可 见 访问 此 URL 的 详细 信息 : 源 IP 为 “172. 16. 2. 
100”, 目 的 IP 为 *172.16.3.100”,URL 为 “172. 16. 3. 100/news/”, 如 图 4-270 所 示 。 

(7) 单 击 “ 关 闭 ” 按 钮 , 单 击 图 中 标记 记录 的 左 侧 红 色 眼 形 图 标 ,如 图 4-271 所 示 。 
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tks 而 
PR 


8 二 


修改 管理 员 密 码 
管理 员 宫 三 是 初始 赤 码 ,请 修改 
Es 、 
新 密码 * 10-127 字 符 
.和 包 全 字母 数字 特殊 符号 
确认 二 码 


C= J] 


图 4-268 初始 密码 修改 


© W364 eM 2100 A 

S| Te 两 ] 
© 01 D0 UP rr Er 加 
ee ER iaaaam A 
© 0-1122098436 AARW rats2400 em 
a 004636 AUP aasaamg mm 
wan trzaoaeal Ru pati0 A 
© p06 Rs assz100 A 
oonen oA raazam A 
© 109303 AR aasaaog A 
© open om as2100 mm 
® oii 0 A ras200 
onsopaxol mms ass2100 的 
oun ms HR aaa 末 
aopalaaogaz5l 和 RE apataaog 的 
© © p300355 RN ep a 
® © 2x0112200561 daRt rai0 ] 
© 2 0035s Om aasaam mm 
2 1122093551 OR WalSZM00 nm 
© p00355: RN ass2100 A 


图 4-269 访问 目标 网 页 的 记录 


2017-11-23 09:36:54 


未 网 站 


172.16.2.100 
1071 


内 网 


持续 时 间 : ”0 秒 
协议 : TCP 

了 8 类 :未 网 站 
动作 : ”日 志 


第 中 名 称 : 日志 管理 
直系 统 名 称 : root-vsys 


应 用 风险 : 1 

URL: 172.16.3.100/news/ 
目的 : 
目的 安全 域 : 

目的 Ip : ”172.16.3.100 
目的 苇 口 : 80 

目的 用 户 : 
目的 国家 /地 区 : 内 网 


EE 


图 4-270 


“详细 信息 ”界面 


ms [Ee 名，- Pt 还 天 
日 志 | 加 E23 RR mp mm/ 
i © © 20171123093654 RE a 
CE ET Er 
URL 
mE 加 器 2017-11-23 093643。 考 划 网 站 172162100 本 
trig © © 2071123093549 008 yas2100 A 
© © om -1123093636 和 1621 A 
i 17 -11.23 093636 ”未 网 站 als2100 4 网 
© © 007-073093636 MRS T2162100 网 
NB 二 © © 2017112309369 30 as2100 
© © 2007-1L23093631 0 2152100 a 
© © 200711.2100361 FMR a6 a100ph sj Ta62100 并 网 
6 志 © © 2017-1123093631 末了 网 站 J72163100tcmpla 72.162100 入 网 
rE © © 07-11.23 093631 0D T2163100mewy T2162100 抽风 
pr © © 201711.23093551 RE 2163100Wh a62100 A 
© © 2017-11.23 093551 未 各 网 站 17216.3.100/plus/ej— 72162100 内 网 
EP 2017 11.23 093551 0 尖 172163100pemphs yy 网 
51 大 有 由 172163300empls 172a62300 
四 se -~ 
本 aagaaoonempb ale2100 罗网 
3551 过 有 风 洁 172163100pemphs 62100 0 
© © 20171121093551 0 Dal6 2100nemple yas2100 A 
® ©2071123093551 MAN zlgalooyderayL 2162100 网 
© © 2007.11.23093551 让 有 网 站 172163100h 172162100 并 网 
， ， 
» + 123456 ) SBSS 2 “] 


图 4-271 访问 目标 网 页 的 记录 


(8) 在 "处 置 详情 ?界面 中 ,可 见 详细 的 防火 墙 处 理 策略 :“ 处 置 方式 ?选中 ”立即 处 
置 " 单 选 按钮 “处 置 动作 ”设置 为 “日 志 ”, 单 击 “ 取 消 ” 按 钮 ,如 图 4-272 所 示 。 


处 置 详情 加 
处 置 方式 国 立即 处 置 〇 延 后 处 轩 
网 络 连 接 : 
UU 源 IP : 172.16.2.100 品目 的 IP : 172.16.3.100 
口 0: 1071 口 目的 满口 : 80 
协议: TCP 
处 团 动 作 | 日 志 > 处 置 时 间 ”| 永久 
域名 : 
域名 
处 置 动作 | 日 志 ~ 处 置 时 间 | 永久 > 
URL : 
UD URL: 172.16.3.100/news/ 
处 置 动作 | 日 志 > 处 置 时 间 | 永久 > 
确定 用 取消 
图 4-272 “处 置 详情 ”界面 


2) 产生 内 容 记 录 

(1) 单 击 左 侧 的 虚拟 机 ,进入 PC, 打 开 实 验 虚拟 机 中 的 火狐 浏览 器 ,在 地 址 栏 中 输入 
“172. 16. 3. 100”, 进 入 网 站 , 单 击 “ 博 彩 中 心 ” 栏 目 , 如 图 4-273 所 示 。 

(2) 成 功 访问 存在 关键 词 “博彩 产业 入 口 ”的 网 页 ,如 图 4-274 所 示 。 

(3) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 防火 墙 产 品 的 他 地 址 “https: //10. 0. 0.1” 
(以 实际 设备 IP 地 址 为 准 ), 进 入 防火 墙 的 登录 界面 。 输 入 管理 员 用 户 名 admin 和 密码 
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欢迎 来 到 了 骑士 人 才 系 纸 ! 。 [ 晤 到 [免费 注册 ] 埋 存 到 过 面 | 网 站 首 页 | 帮助 | 图 手机 频道 | Q 搜索 ~ 


馏 fa CH 


| 招聘 信息 向 招聘 ”求职 信息 。 了 工具 箱 “招聘 会 。 新 闻 资讯 


当前 位 置 ， 网 外 首页 


搜索 职位 企业 总 要 :0 有 效 职 位 :0 有 效 简历 : 0 会 员 总 孝 : 0 区 填写 简历 
机 从 入 遇 位 称 ， 公 司 名称、 技 蕉 特长。 学 等 雏 有 这 更新 加 位 。 王 字 作 地 志 员 位 区 

的 门 关键 字 ， 销 入 代表 销 委 经 理会 让 销售 工程 师 销售 助理 寺中 提 职位 。 二 得 家 吕 位 

最 新 下 载 简历 入 下 吉 我 简 所 ? 马上 芋 意 春 。。 本 周 热点 职位 | 


图 4-273 进入 “博彩 中 心 ” 栏 目 


| 四 | 172.16.3.100/user/bocsi htn 


博彩 产业 入 口 


图 4-274 成 功 访问 目标 网 页 之 二 


“11fw@2soc# 3vpn" 登 录 防 火 墙 。 单 击 面板 上 方 的 “数据 中 心 ”, 单 击 左 侧 的 “内 容 日 
志 ”, 在 “内 容 日 志 ” 界 面 中 看 到 访问 目标 网 页 的 记录 , 单 击 红 框 所 示 ,记录 左 侧 的 灰色 眼 形 
图 标 , 如 图 4-275 所 示 。 


新 一 代 知 站 打 火 几 


各] DA hitss 11i0001 区 I 


目 a 


流量 日 


局 押 日 志 


坯 名 日 态 
URL 过 海 日 志 
邮件 过 日 志 


图 4-275 访问 目标 网 页 的 记录 
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(4) 在 “详细 信息 ”界面 中 ,可 见 访问 此 网 页 的 详细 内 容 :“ 关 键 字 "为 “博彩 产业 入 


口 ?,“ 源 IP” 为 “172. 16. 2. 100”,“ 目 的 IP” 为 “172. 16. 3. 100”, 如 图 4-276 所 示 。 
详细 信息 [x] 
常规 信息 : 加 
时 间 2018-04-22 11:00:25 持续 时 间 0 秒 
内 容 类 型 内 容 关键 字 {博彩 产业 入 口 :1} 
文件 名 称 : 。 bocaihtm 文件 类 型 :html 
方向 下 载 协议 TCP 
应 用 ， HTTP 动作 ， “日 志 
莱 略 各 称 日 志 管 理 虚 系统 名 称 ， Tootysys a 
会 请 D: 。 1965811 更 点 关注 ，。 NO 
应 用 分 类 网 络 协议 应 用 风险 : ‘ 
源 : 目的 : 
源 P: 17216.2100 目的 IP: 172.16.3.100 
源 妙 口 1105 目的 端口 80 
源 安 全 域 目的 安全 域 
源 用 户 目的 用 户 
源 国家 | 地 区 ， 内 网 月 的 国家 /地 区 ， ”内 网 图 
跳 至 析 糊 搜索 关闭 


图 4-276 “详细 信息 ”界面 之 二 


(5) 单 击 “关闭 ?按钮 ,在 “内 容 日 志 ” 界 面 中 , 单 击 红 框 所 示 , 记 录 左 侧 的 红色 有 眼 形 图 
标 , 如 图 4-277 所 示 。 


内 容 日 志 
请 给 入 查询 内 容 
; 扣 作 | 时间 文件 名 称 文件 类 型 | 内容 类 型 | 动作 | 万 向 应 用 
[©| 四 2018-04-2211:00:25 bocalhtm html 内 容 日 志 下 载 HTTP 


图 4-277 访问 目标 网 站 的 记录 之 二 


(6) 在 “处 置 详情 ?界面 中 ,可 见 防火 墙 详细 的 处 理 策略 :“ 处 置 方式 ?选中 “立即 处 
置 ? 单 选 按钮 处置 动作 ?设置 为 “日 志 ”, 单 击 * 取 消 ?按钮 ,如 图 4-278 所 示 。 

3) 产生 邮箱 记录 

(1) 单 击 左 侧 的 虚拟 机 ,进入 PC, 单 击 任 务 栏 * 开 始 ”>“Outlook Express” 打 开 邮 箱 
界面 ,如 图 4-279 所 示 。 

(2) 在 Outlook 程序 界面 中 , 单 击 “ 工 具 ” 一 “发 送 和 接收 ”一 xiaofang, 如 图 4-280 
所 示 。 

(3) 如 果 出 现 登录 界面 “用 户 名 ”输入 “xiaofang@fhq. com”, “密码 ”输入 “secu@1@ 
 $%”, 单 击 “ 确 定 ” 按 钮 ,如 图 4-281 所 示 。 

(4) 在 邮箱 界面 单 击 “ 创 建 邮 件 ”, 如 图 4-282 所 示 。 
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网 络 连 接 : 


处 置 方式 。 加 立即 处 年 


源 IP; 
源 端 口 : 
协议 : 


172.16.2.100 
1105 


处 午时 间 


172.16.3.100 
80 


口 URL: 


处 秆 动作 | 日 志 


(5) 在 邮件 界面 中 ,设置 “ 收 件 人 ”为 “xiaoming@fhgq. com”, “主题 ”为 “邀请 函 ”, 内 容 
为 “过 几 天 咱们 几 个 老 同学 聚 聚 ?”, 单 击 “ 发 送 ” 按 钮 ,如 图 4-283 所 示 。 

(6) 单 击 “ 本 地 文件 夹 ”>“ 已 发 送 邮 件 ”, 看 到 邮件 已 经 发 送出 去 ,如 图 4-284 所 示 。 

(7) 单 击 “ 工 具 ” 一 “发 送 和 接收 ”一 “xiaoming”, 如 图 4-285 所 示 。 

(8) 如 果 出 现 登录 界面 “用户 名 ”输入 “xiaoming@fhq. com”,“ 密 码 ” 输 入 “test@1@ 
## $ %”, 单 击 “ 确 定 ” 按 钮 ,如 图 4-286 所 示 。 


w= 300 m= 


图 4-279 


图 4-278 “处 置 详情 ”界面 之 二 


运行 Outlook 程序 
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多 0utlook Express 


上 文件 四 编辑 四 查看 四 


全 部 同步 加) 


区 
Outlook Express 标记 为 脱 机 癌 计 加) 


文件 夹 


通讯 简 @) CtrltshifttB 
移居 件 人 入 加 于 讯 注 D) 


邮件 规则 E) 


账户 的 .… 
选项 四 ). 


登录 - 172.16.3.100 


登录 

服务 器 : 。 172.16.3 100 
PS W: Fi stat em 
BO, fe 


[3 


Ee 


图 4-281 登录 界面 


二 日 一 次 
们 的 收 体 箱 中 设 有 未 读 邮 征 》 > 
9 峙 Wap 件 
大 邮件 


中 ， 
探 本。 


“ss 


BB RA 
A ET 
厂 自动 时 ,直接 各 到} 收 件 箱 。 


图 4-282 创建 邮件 
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只 北 请 函 


saoming@maqcom 


[ES 
| 
过 几 天 咱们 几 个 老 同 学 聚 聚 引 四 


国 已 发 送 邮 件 0utlook Eress 


4-285 邮箱 界面 之 二 


m= 302 m= 
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图 4-286 登录 界面 之 二 


(9) 在 “ 收 件 箱 ” 中 可 见 收 到 的 邮件 ,如 未 收 到 , 单 击 " 工 具 ” 一 “发 送 和 接收 ”一 “发 送 
和 接收 全 部 邮件 ”, 如 图 4-287 所 示 。 


通讯 污 仙 
3 至 发 任 信 后 加 到 参 司 阳 O7 
邮件 规则 QB) 


图 4-287 发 送 和 接收 全 部 邮件 


(10) 单 击 左 侧 的 “ 收 件 箱 ”, 发 现 收 到 了 一 封 邮件 ,如 图 4-288 所 示 。 

(11) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 防火 墙 产 品 的 IP 地 址 *https: //10. 0. 
0.1”。( 以 实际 设备 IP 地 址 为 准 ) ,进入 防火 墙 的 登录 界面 。 输 入 管理 员 用 户 名 admin 和 
密码 “11fw@2soc# 3vpn” 登 录 防 火 墙 。 单 击 面 板 上 方 的 “数据 中 心 ”, 单 击 左 侧 的 “邮件 
过 滤 日 志 ”, 在 “邮件 过 滤 日 志 ” 界 面 中 看 到 邮件 记录 , 单 击 红 框 所 示 , 记 录 左 侧 的 灰色 有 眼 形 
图 标 ,如 图 4-289 所 示 。 

(12) 在 “详细 信息 ”界面 中 ,可 见 发 送 邮 件 的 详情 :“ 发 件 人 ”为 “xiaofang @ fhq. 
com”,“ 收 件 人 ”为 “xiaoming@fhq. com”。 单 击 “ 关 闭 ” 按 钮 .如 图 4-290 所 示 。 

4) 产生 防火 墙 配 置 的 记录 

(1) 在 管理 机 打开 浏览 器 ,在 地 址 栏 中 输入 防火 墙 产 品 的 卫 地址 https: //10. 0.0.1” 
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确 收 件 箱 - 0utlook Express 


| 文件 四 ” 护 可 外 查看 WW 工具 中 邮件 加 帮助 加 


[CE 
忆 收 件 箱 


x 
3 Outlook Express 


联系 人 CC) ~ x 


URE 
Ci 
WBE 
BE 
MA 
MEE 
二 

十 抽 中 

[Sd 

轩 类 汪 


| 
[ss 
图 4-289 ”传输 邮件 的 记录 


(以 实际 设备 IP 地 址 为 准 ), 进 入 防火 墙 的 登录 界面 。 输 入 管理 员 用 户 名 admin 和 密码 
“11fw@2soc#3vpn” 并 登录 防火 墙 。 单 击 面板 上 方 的 “数据 中 心 ”, 单 击 左 侧 的 “配置 日 
志 ”, 在 “配置 日 志 ” 界 面 中 看 到 之 前 所 有 配置 防火 墙 的 记录 。 任 意 单 击 “ 管 理 员 ”的 一 个 属 
性 “登录 方式 ”的 一 个 属性 “登录 IP” 的 一 个 属性 和 “模块 "的 一 个 属性 , 即 可 在 搜索 框 中 
产生 相应 得 搜索 条 件 , 如 图 4-291 所 示 。 

(2) 在 搜索 框 中 ,可 以 修改 具体 的 搜索 值 .本 实验 要 搜索 “管理 员 ” 为 admin、“ 登 录 
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详细 信息 x 
常规 信息 : 加 
时 间 : 2017-11-23 10:32:40 邮件 主题 : 
持续 时 间 : 0 秒 协议 : TCP 
应 用 : ”SMTP 动作 : 日 志 
第 赂 名 称 : 日志 管理 直系 统 名 称 : root-vsys 
会 话 ID : 706524 重点 关注 : NO 
应 用 分 类 : 。 网络 协 议 应 用 风险 : 5 
方向 : ”发 兰 命中 类 型 : _defaukt_ 


发 件 人 : xiaofang@fhq.com 
收 件 人 :xiaoming@fhq.com 


抄 送 : 

源 : 目的 : 

源 Ip : 172.16.2.100 目的 Ip : 172.16.3.100 
源 端 口 : 1054 目的 端口 : 25 


目的 安全 域 : ~ 


图 4-290 “详细 信息 ”界面 


目 as 
Wy er Qa+ 日 找 了 
ES [3 ip 
PE 200-11-23102045 BEE] Co 
al sdrin 知人 友 ,区 天 密生 ， 闪现 六 太 :[ 它 由) 
wi © 007-11.29103303 ad 人 生长 和 BY 市 ， 条 入 ;全 策 困 ， 长 让 赤 ;dicable| 天 
3 © A1123101303 和 0 
和 © 2 10130 adrin DR 殷 ， 尖 名 可 [全 可] 安全 起 :any 
. in 全 和 尖刀， 本末 [个 咽 | ， 安 全 吉 : an 
FE = rin 192168155 poboy 办 | 入 了 ,四 二 寺 区 下: 中] ,类 tt 相克， 
Co 人 200.142310dos3 admin 1921683355 。 poloy 主攻 让 六 ， 第 员 名作 ;全 和 | ， 长兴 楼 村 机 :dicablel 类 到: 
© 007-11.2810doa3 sbrin poboy 安生 本 了 下 各 号 认 [全 过 |， 水尾 生 : 
bei bn pu rc 定妆 人 二 ”全 加 格 :| 全 中 | ,安仁 :ary| 
eS © 71123 10d033 adrin poboy Ee 学 休 1 二] ， 雪 全 则 any 
= © 423101033 sadnin pa 和 
四 20071123 1005d8 wdnin ao ee 
EE ® 2071123095753 adrin pa ne 全 和 长 泪 六， 第 名 作 ;| ,长 过 六 关 态 1 1disablal 类 :0 
同 闻 四 2007-11.28095753 brin poboy 二 sp 生起 厂 ， 条 要 罕 :] ， 站 由 及 和: 
© 20D.11.23095753 odimin pa :1 ,安全 jonyj 
0041-23095753 admin pair rc 主管 原 安 全 如 ， 壬 名 际 1 1] ， 安 全 二 am 
© 17-112300575s adnin 1921683355 poboy EE 
2017-11-23 095746 admin 1921683155 poby 条 二 ,久生 | 基 旨 |， 浴霸:[ 反 二 ] 
® 2071123095456 adrin 1921683355 content et, 
N245678910 $ NMBA 0 


tt 
图 4-291 配置 防火 墙 的 日 志 


方式 ”为 web“ 登 录 IP” 为 “10. 0.0.44”“ 模 块 ”为 content 的 记录 , 则 搜索 条 件 修改 为 
“(user. src eq admin') and (from eq ‘web') and (addr. src eq '10. 0. 0. 44 ) and (module 
eq 'content)”, 单 击 搜索 栏 右 侧 的 搜索 图 标 , 如 图 4-292 所 示 。 

(3) 半分 钟 后 ,在 “配置 日 志 ” 界 面 中 ,可 见 符合 结果 的 记录 ,如 图 4-293 所 示 。 


305 


Be 仿 炎 汪 各 个 及 公用 实 台 折 汪 mim 


配置 日 


serae eq ‘odrnin) and from eq Weby and ddrorc eq 1000.44) and (mocule cq wortent 


加 ?3080432111344 admin web 100044 
© 20180422104901 admin web 1000.44 
® 2018042210:44398 admin web 100.0.44 
© 2016042210:1739 admin web 100044 
© 320804-22103739 admin web 100.0.44 
© 2018042210:3739 admin web 100.0.44 
© 206042210:3739 admin weh 100.0.44 
© 2018042210:3739 admin web 100044 
© 20180422103713 admin web 100.0.44 
© 2018042210:3743 admin web 1000.44 
© web 


policy 
policy 
pomey 
pley 
poliy 
poliy 
poliy 


poliey 


保存 如 

编 久 坊 acress VLAN dj, 接口 ，[ee3],access VLANIdI1] 
源 hVLAN, VLAN; [1] 

天 加 安全 病 路 连接 ， 某 辕 各 称 :[ 生 通 黄 哇 )， 长 连接 居 太 ，[disabla], 类型: 
天 hp 安全 策 喇 来 折 隐 这， 筑 史 名 称 ，[ 主 通 条 史 ]， 来 白 陛 造 ，[ 
承志 全 生 啼 目的 安全 直 ， 病 咯 名称- [全 过 策 由 ]， 次 全 地 :Ian 

于 Mh 到 全 何某 安 全 起 ， 某 克 名 各 ，[ 全 巡 莱 吕 ]， 安全 壤 ，[ani] 

添加 安全 策 路 ， 名 称 ; [全 晶 鞭 夺 ]， 谭 地址 成 员 个 就 :， 目 的 地 址 成 员 个 坡 : [ 
编 祝 安 全 俩 略 部 件 过 源 ， 菜 罗 各 称 : [日 志 备 理 ， 邮件 过 滤 名 种 ，[ 邮 件 志 汪 | 
纺 证 安全 和 毅 耻 内容 过 入 ， 生 同名 称 : [日 志 管 理 ， 内 容 过 号 名 称 ， [内容 过 神 ] 
给 逢 安全 货 路 URL， 药 辐 名 称 ，[ 日 志 管 理 ， URL 名 称 ，[URL 订 淖 ] 


图 4-292 “配置 日 志 ” 界 面 


usersic aq ‘admin) and (fom eq web) and iaddtsic eq 0.00.44) and (module sq content) 


© 2018042210:3308 admin web 10.0044 content 内 容 过 小 策略 [内 容 过 小 ] 添加 规则 ， 规 则 名 也 。 RM 一 ]， 文 件 类 型 名 所、Imtml 
加 201804.22103308 admmn web 10.0044 content 月 务 计 沾 攻 车 [内容 过 小 | 潭 加 规则 ， 规 则 名 抑 ， | 规则 一 ]， 应 用 名称 ，IHTTP] 
© 20180422103308 admin web 100044 content 内 帘 半 带 营 四 [内 容 过 副 ] 添加 规 刚 ， 燥 则 各 隐 ，| 娩 则 一 ]， 方 向 ，[bothj， 甘 刍 字 
© 32018-04.232103308 admin web 100044 content 策 加 内 容 过 让 菜 因 ， 信 称 ，[ 内 容 过 六 ]， 搞 达 ， 

4-293 ”搜索 结果 


【实验 思考 】 


(1) 如 何 设置 能 使 防火 墙 记录 下 PC2 发 往 虚拟 机 的 邮件 日 志 ? 
(2) 怎样 设置 可 以 使 URL 过 滤 全 天 生效 ? 
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防火 墙 复杂 场景 实践 


通过 前 四 章 的 实验 掌握 防火 墙 的 配置 .管理 和 应 用 ,本 章 为 防火 墙 综合 实验 ,将 综合 
上 述 技能 完成 防火 墙 的 配置 ,管理 与 应 用 ,对 上 述 所 掌握 的 技能 进行 检验 。 


【实验 目的 】 

综合 运用 所 学 防火 墙 相关 知识 ,完成 防火 墙 设备 部 署 、 配 置 时 的 常用 操作 ,例如 网 关 
双 出 口 配置 .静态 路 由 策略 、 源 NAT 策略 .OSPF 路由、 关键 字 配 置 及 应 用 、 黑 白 名 单 、 攻 
击 防护 等 相关 配置 ,实现 内 网 用 户 通 过 防火 墙 访问 外 网 Web 服务 器 带宽 控制 ,访问 控 
制 \ 攻 击 防护 等 安全 功能 。 


【知识 点 】 
路 由 、 源 NAT、OSPF 、 关 键 字 、 黑 名 单 . 白 名 单 .端口 ,扫描 网关、 安全 域 . 安 全 策略 。 


【场景 描述 】 

A 公司 因 业 务 增加 ,于 某 地 设立 研发 分 部 ,指派 安全 运 维 工程 师 为 研发 分 部 的 信息 
系统 部 署 防火 墙 ,研发 分 部 申请 了 两 个 外 网 接口 ,通过 对 防火 墙 的 黑白 名 单 、 外 网 接口 路 
由 OSPF 配置 .安全 防护 策略 等 进行 配置 ,实现 防火 墙 达到 日 常 基本 运行 状态 ,保证 内 部 
主机 正常 访问 外 部 网 站 、 实 现 基本 安全 防护 和 带宽 控制 等 功能 。 请 帮助 安全 运 维 工程 师 
配置 防火 墙 。 


【实验 原理 】 

在 防火 墙 课程 设计 中 ,需要 综合 运用 防火 墙 的 策略 配置 ,对 象 配置 .网 络 配 置 等 功能 
项 ,实现 对 防火 墙 内 部 信息 系统 的 安全 防护 ,并 通过 黑白 名 单 、 防 护 策略 等 规则 策略 的 综 
合 运用 ,实现 信息 系统 内 部 的 访问 控制 .带宽 控制 等 功能 。 

【实验 设备 】 

。 安全 设备 : 防火 墙 设备 1 台 。 

。 网 络 设备 : 路 由 器 2 台 , 二 层 交 换 机 1 台 。 

。 主机 终端 : Windows Server 2003 SP2 主机 3 台 , Windows XP 主机 1 台 , Windows 7 

主机 2 台 。 


【实验 拓扑 】 

实验 拓扑 如 图 5-1 所 示 。 
【实验 思路 】 

(1) 配置 防火 墙 接口 和 安全 域 。 
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研发 部 网 段 : 172.16.2.9-172.16.2.99 


ge2: 124.16.8.2 = 
Web 服 务 器 1 : 110.69.70.100 Ee dle 
ge4: 172.16.2.1 PC1 : 172.16.2.50 
[一 3 下 团 | gel : 10.0.0.1 
FTP 服 务 器 NG 
DNS 服务 器 庆 一 1 
攻击 机 : 10.79.80.110 e3 : 125.17.9.2 
一 一 、 GW: 125.17.9.1 
管理 机 ep PC2 : 172.16.2.150 
Web 服 务 器 2 ， 120.89.90.100 (以 实际 IP 地 址 为 准 ) ”其 他 部 门 网 段 : 172.16.2.101-172.16.2.150 


图 5-1 防火 墙 复杂 场景 实验 拓扑 


(2) 配置 对 象 管理 。 

(3) 配置 基本 安全 策略 。 

(4) 配置 源 NAT 转换 。 

(5) 配置 静态 路 由 。 

(6) 配置 OSPF。 

(7) 配置 关键 字 组 。 

(8) 配置 安全 配置 文件 。 

(9) 在 基本 安全 策略 中 引用 安全 防护 策略 。 

(10) 内 网 主机 可 访问 外 网 Web 服务 器 ,并 可 按照 配置 的 关键 字 、 安 全 防护 策略 等 设 
置 实现 内 网 主机 的 行为 控制 .安全 防护 等 功能 。 

(11) 配置 地 址 黑白 名 单 ,实现 对 指定 IP 地 址 的 阻 断 访问 。 

(12) 配置 攻击 防护 策略 ,使 得 外 网 主机 扫描 防火 墙 外 网 IP 地 址 时 提供 安全 防护 和 
警告 。 
(13) 对 内 网 主机 进行 IP-MAC 绑 定 , 设 置 未 绑 定 策略 ,提高 内 网 安全 性 。 


【实验 步骤 】 

(1) 一 (3) 登录 并 管理 防火 墙 ,检查 防火 墙 的 工作 状态 ,如 图 5-2 所 示 。 

(4) 配置 网 络 接口 。 单 击 面板 上 方 导航 栏 中 的 “网 络 配置 > 接口 ”, 显 示 当 前 接口 
列表 , 单 击 ge2 一 行 右 侧 “操作 ” 列 中 的 笔 形 标志 ,编辑 ge2 接口 设置 ,如 图 5-3 所 示 。 

(5) 在 弹出 的 “编辑 物理 接口 ?界面 中 ,ge2 是 模拟 连接 Internet 的 两 个 接口 之 一 , 因 
此 * 安 全域? 设置 为 untrust, “工作 模式 ”选中 “路 由 模式 ” 单 选 按钮 ,在 “本 地 地 址 列表 ”中 
的 IPv4 标签 栏 中 , 单 击 “ 十 添加 ”按钮 。 

(6) 在 弹出 的 “添加 IPv4 本 地 地 址 ”界面 中 ,在 “本 地 地 址 ”中 输入 ge2 对 应 的 全 地 
址 “124. 16. 8.2”,“ 子 网 掩 码 ” 输 入 “255. 255. 255.0”,“ 类 型 ”为 float, 如 图 5-4 所 示 。 

(7) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 ,确认 ge2 接口 信息 是 否 无 误 。 

(8) 单 击 “ 确 定 ” 按 钮 ,返回 “接口 "列表 中 ,继续 单 击 ge3 一 行 右 侧 “ 操 作 ” 列 的 笔 形 标 
志 , 编 辑 ge3 接口 信息 。ge3 接口 也 是 模拟 连接 外 网 的 两 个 接口 之 一 ,因此 “安全 域 "设置 
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图 5-3 编辑 ge2 接口 


本 地 地 址 | 12416.8.2 
子 网 挤 码 ”255.255.255.0 


关 型 ”| float 


图 5-4 输入 ge2 对 应 IP 地 址 


为 untrust,“ 工 作 模 式 ” 选 中 “路 由 模式 " 单 选 按 钮 ,在 “本 地 地 址 列表 ”一 栏 中 , 单 击 IPv4 
一 栏 中 的 “十 添加 ”按钮 。 

(9) 在 弹出 的 “添加 IPv4 本 地 地 址 ”界面 中 ,“ 本 地 地 址 "输入 ge3 对 应 的 IP 地 址 
“125. 17. 9. 2”,“ 子 网 掩 码 ” 输 入 “255. 255. 255. 0”, 如 图 5-5 所 示 。 

(10) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 .确认 ge3 接口 信息 是 否 无 误 。 

(11) 单 击 “ 确 定 ” 按 钮 .返回 “接口 "界面 ,继续 单 击 ge4 一 行 右 侧 * 操 作 ” 列 中 的 笔 形 标 
志 , 编 辑 ge4 接口 信息 。ge4 模拟 研发 部 内 部 网 络 接口 ,因此 “安全 域 " 设 置 为 trust, “工作 模 
式 ” 选 中 “路 由 模式 ” 单 选 按钮 ,在 “本 地 地 址 列表 ”一 栏 中 , 单 击 IPv4 栏 中 的 “十 添加 ”按钮 。 

(12) 在 弹出 的 “添加 IPv4 本 地 地 址 ”界面 中 ,“ 本 地 地 址 ”输入 ge4 对 应 的 内 部 网 络 全 
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添加 IPv4 本 地 地 址 


本 地 地 址 “| 125.17.9.2 
子 网 掩 码 。 | 255.255.255.0 
类 于 | float 


图 5-5 编辑 ge3 接口 信息 


地 址 “172. 16. 2. 1”,“ 子 网 掩 码 ” 为 “255. 255. 255.0”,“ 类 型 "设置 为 float, 如 图 5-6 所 示 。 


172.162.1 


255.255.255.0 
float 


图 5-6 编辑 ge4 接口 信息 


(13) 单 击 “ 确 定 ” 按 钮 ,返回 “编辑 物理 接口 "界面 ,确认 ge4 信息 是 否 无 误 。 
(14) 单 击 “ 确 定 ” 按 钮 ,返回 “接口 ”列表 界面 ,可 查看 ge2、ge3 和 ge4 接口 信息 ,如 
图 5-7 所 示 。 


IC 二 | 

wa ca ES mm 加 
， 加 可 7 
ca a a : 网 
ee LL a a 加 a 

ee 国 加 BB 习 其 


图 5-7 “接口 ?列表 


(15) 网 络 接口 设置 完成 后 ,进行 对 象 配置 。 单 击 上 方 导 航 栏 中 的 “对 象 配置 ”一 “地 
址 ”一 "地址 ”, 显 示 当 前 的 地 址 对 象 列 表 , 如 图 5-8 所 示 。 

(16) 在 本 实验 中 ,研发 部 网 段 为 “172. 16. 2. 9 至 172. 16. 2. 99”, 其 他 部 门 网 段 为 
“172. 16. 2. 101 至 172. 16. 2. 150”, 因 此 在 地 址 对 象 中 分 别 添 加 两 个 网 段 的 信息 内 容 。 单 
击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 地 址 ”界面 中 .“ 名 称 ” 输 入 “研发 部 地 址 段 ”",“IP 地 址 ? 输 
入 研发 部 地 址 段 范围 ,如 图 5-9 所 示 。 

(17) 单 击 “ 确 定 ” 按 钮 ,返回 "地 址 ”列表 ,再 次 单 击 “ 十 添加 ”按钮 ,添加 其 他 部 门 地 址 
段 , 如 图 5-10 所 示 。 

(18) 单 击 “ 确 定 ” 按 钮 ,返回 “地 址 ”列表 界面 ,显示 添加 好 的 两 个 内 网 地 址 对 象 ,如 
图 5-11 所 示 。 
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策略 配置 对 象 配 置 


[十 和 ][ 口 器 ][C 时 ] 
地 址 组 [| Sg 称 地 址 
0.0.0.0/0, 3 
服务 器 地 址 Sr 0, /0 
VPN 地 址 池 
图 5-8 “地 址 ”标签 页 
添加 地 址 
名 称 。 [研发 部 地 址 和 1]. 0.63¥49) 
摘 还 | o-z7 字 和 
lp 地 址 @@ 172.16.2.9-172.162.99 
~ 高 级 


图 5-9 添加 研发 部 地 址 段 对 象 


* (1-63 字 知 


] oz7 了 和 


图 5-10 ”添加 其 他 部 门 地 址 段 


[eu 
[tw ] ES 
加 naam sm 本 
OD rest Val29- 1T216299 
DD me tm T722101- 2162450 . pr 


图 5-11 


地 址 对 象 列表 
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(19) 配置 地 址 对 象 后 ,配置 基础 安全 策略 。 单 击 上 方 导航 栏 中 的 “策略 配置 ">“ 安 
全 策略 ”, 显 示 当 前 的 安全 策略 列表 ,如 图 5-12 所 示 。 


好 安全 第 略 [ ems | 宛 作 策略 

Nn [+¥m ] [Saw ] (Dw ] [iw ] (A Wes 
Ev] 安全 认证 < Im 源 安全 域 目的 安全 域 
图 sl 解放 策略 


图 5-12 “安全 策略 "标签 页 


(20) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 安全 策略 "界面 中 ,“ 名 称 ” 输 入 “内 网 访问 外 
网 ”,“ 动 作 ” 选 中 “允许 ”" 单 选 按 钮 ,“ 源 安全 域 ” 设 置 为 trust, “目的 安全 域 " 设 置 为 
untrust,“ 源 地 址 /地 区 ”设置 为 “研发 部 地 址 段 " 和 “其 他 部 门 地 址 段 ",“ 目 的 地 址 /地 区 ” 
“服务 “应 用 ” 均 设置 为 any, 如 图 5-13 所 示 。 


添加 安全 第 略 四 
名 称 | 内 网 访问 外 网 | 0-63 字 和 
搞 述 ] (0-127 字 和 禄 ) 
启用 加 
动 F @ 多 省 O 3 她 〇 去 全 连接 全 省) 
源 安全 域 | trust v| 
目的 安全 域 。 上 untrust ~| 
a [WR ] 
源 地 址 /地 区 。 | 研发 各地 址 自 其 地 部 门 地 址 外 ] 
目的 地 址 /地 区 。 | any | 
服务 “| ay | 
应 用 [any | 
来 自 砍 道 | 请 渤 择 医道 ~| 
时 间 。 | 请 选择 时 间 ~| 
VIAN 请 给 入 VLAN | 
( 取 值 范围 0-4094 ,格式 : 1,3,5-10,12) 党 


图 5-13 添加 基本 安全 策略 


(21) 单 击 “ 确 定 ” 按 钮 ,返回 “安全 策略 ”列表 ,可 查看 添加 的 安全 策略 ,如 图 5-14 
所 示 。 


Samm | sme 


Fm |) [Bm (Hm) Cam | hs (CC) 


上 es aa aa Bm me 的 as an 


a FE 加 
EE Cc Ce 十 一 一 ~ ~ 二 如 


5-14 安全 策略 列表 
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(22) 配置 源 NAT 策略 。 单 击 上 方 导航 栏 中 的 “策略 配置 "一 “NAT 策略 ”一 “ 源 
NAT”, 显 示 当 前 的 源 NAT 策略 列表 .如 图 5-15 所 示 。 


| WNAT 目的 NAT NAT64 


[+ ] [ 口 ms ] [ 旨 亢 3 ] [二 海 s 全 数 
名 | 源 地 址 


图 5-15 “ 源 NAT” 标 签 页 


(23) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 源 NAT” 界 面 中 , “名称” 输入 “内 网 地 址 转 
换 ”, 在 “转换 前 匹配 ”一 栏 中 ,“ 源 地 址 类 型 "选中 “地 址 对 象 ” 单 选 按 钮 ,“ 源 地 址 ”设置 为 
“研发 部 地 址 段 " 和 “其 他 部 门 地 址 段 "两 个 对 象 ,“ 目 的 地 址 类 型 "选中 “地 址 对 象 " 单 选 按 
钮 ,“ 目 的 地 址 “服务 “出 接口 ” 均 设 置 为 any; 在 “转换 后 匹配 ”一 栏 中 ,“ 地 址 模式 ”选中 
“动态 地 址 ” 单 选 按钮 “类 型 "设置 为 BY_ROUTE, 如 图 5-16 和 图 5-17 所 示 。 


添加 源 NAT 


x 


名 称 | 内 网 地 址 转换 "(1-63 字 符 ) 
接 述 (0-127 字 夭 ) 
启用 


5-17 配置 源 NAT 策略 (转换 后 ) 


(24) 确认 无 误 后 , 单 击 “ 确 定 ” 按 钮 ,返回 源 NAT 策略 列表 ,可 查看 添加 的 源 NAT 
策略 ,如 图 5-18 所 示 。 


Te ee 
[FJ Dm ] Ce ] Se ] [CC] | 


3 
ere re ~ od bd 


eee ao 加 ‘ 


图 5-18 源 NAT 策 略 列表 
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(25) 配置 静态 路 由 ,需要 分 别 将 防火 墙 ge2 和 ge3 口 连接 路 由 信息 填写 进去 ,实现 
快捷 的 地 址 访问 。 单 击 “ 网 络 配置 "~“ 路 由 ”一 “静态 路 由 ”, 显 示 当 前 的 静态 路 由 列表 ,如 
图 5-19 所 示 。 


静态 路 由 
[tim ] [Dw (Cm 
口 目的 地 址 / 接 码 | 网 关 


图 5-19 “静态 路 由 ”标签 页 


(26) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 静态 路 由 ”界面 中 ,在 “目的 地 址 / 掩 码 ”中 输 
入 “110. 69.70.0/24”,“ 类 型 "选中 “网 关 ” 单 选 按 钮 “网关” 中 输入 ge2 口外 接 的 路 由 器 
IP 地 址 “124. 16. 8. 1”, 如 图 5-20 所 示 。 


110.69.70.0/24 
回 刚 关 [© | 


124.16.8.1| 


1 (1-255) 
[wz ][ ws ] 


图 5-20 添加 静态 路 由 


(27) 确认 无 误 后 , 单 击 “ 确 定 ” 按 钮 ,返回 静态 路 由 列表 ,继续 单 击 “ 十 添加 ”按钮 ,将 
其 他 路 由 信息 输入 其 中 ,如 图 5-21 和 图 5-22 所 示 。 


添加 药 态 路 由 


目的 地 址 / 扒 码 。 | 10.79.80.0124 
类 型 ”图 网 关 


网 关 124.16.8.1 


权重 |1 (1-255) 


- [we ww ] 
图 5-21 添加 静态 路 由 信息 


120.89.90.0/24 
© Rx O sO 


125.17.9.1 


1 (1-255) 


取消 


图 5-22 添加 静态 路 由 信息 之 二 
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(28) 添加 静态 路 由 完成 后 ,在 “静态 路 由 ”列表 中 ,可 查看 添加 的 静态 路 由 信息 ,如 
图 5-23 所 示 。 


攻 态 路 由 
Dm ] [Caw 


口 107980 oz4 1241681 0987 者 
口 105970024 1244681 gl 贡 态 
口 12089s00p4 12547.91 


‘< < 


图 5-23 静态 路 由 列表 


(29) 配置 OSPF, 获 取 连 接 路 由 器 的 信息 。 单 击 防火 墙 上 方 导航 栏 中 的 “网 络 配置 ”一 


“路 由 ”一 “OSPF”, 显 示 当 前 的 基本 配置 信息 , 匀 选 “启用 OSPF? 复 选 框 ,在 “Router ID” 
中 输入 防火 


墙 的 Router ID ,本 实验 中 使 用 *172. 16. 2. 0”, 并 单 击 “ 确 定 ” 按 钮 ,如 图 5-24 
所 示 。 


ee 


图 5-24 启用 OSPF 


(30) 单 击 “ 网 络 配 置 ”标签 页 ,显示 当前 的 网 络 配 置 列表 ,如 图 5-25 所 示 


5-25 “网 络 配置 "标签 页 


(31) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 网 络 配置 ?界面 中 ,在 “网 络 地 址 /网 络 掩 码 ” 


中 输入 ge2 对 应 的 IP 地 址 段 “124. 16. 8. 0/24”,“ 区 域 号 ?输入 “0. 0. 0. 0”, 如 图 5-26 
所 示 。 


124.16.8.0/24 
0.009| 


5-26 ”添加 网 络 配 置 
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(32) 确认 信息 无 误 后 , 单 击 “ 确 定 ” 按 钮 ,返回 “网 络 配置 "列表 界面 ,继续 单 击 “ 十 添 
加 ”按钮 ,将 ge3 对 应 的 IP 地 址 段 “125. 17. 9.0” 加 入 网 络 配 置 中 ,如 图 5-27 所 示 。 


网 络 地 址 /网 络 挤 码 | 125.17.9.0/24 


区 域 号 ”| 00.0d| * (Pv4 地 址 形式 ) 


图 5-27 添加 网 络 配 置 之 二 


(33) 添加 ge2 和 ge3 对 应 网 络 信 息 后 ,可 在 “网 络 配 置 " 列 表 中 查看 相关 信息 ,如 
图 5-28 所 示 。 


5-28 网 络 配置 列表 


(34) 继续 单 击 * 接 口 配置 ,显示 当前 的 接口 配置 信息 列表 ,如 图 5-29 所 示 。 


5-29 “接口 配置 "标签 页 


(35) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 接口 配置 "界面 中 ,“ 三 层 接口 "设置 为 ge2， 
“接口 模式 ”设置 为 普通 ”“Cost 值 " 和 “DR 选举 优先 级 "保留 默认 的 10 和 1, 如 图 5-30 
所 示 。 


* (1-65535 , 默认 10) 
1* (0-255 ,默认 TD) 


5-30 ”添加 接口 配置 信息 


(36) 单 击 “ 确 定 ” 按 钮 ,返回 “接口 配置 "列表 界面 ,继续 单 击 “ 十 添加 ”按钮 ,将 ge3 添 
加 到 接口 配置 中 ,如 图 5-31 所 示 。 
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0-65535 , 车 认 10) 
* (0-255 , 办 1) 


图 5-31 添加 接口 配置 信息 之 二 


(37) 添加 好 的 接口 配置 信息 ,可 在 “接口 配置 "列表 界面 中 显示 ,如 图 5-32 所 示 。 


| 
Eze 

EE 
Do 站 站 更 


图 5-32 接口 配置 信息 列表 


(38) 配置 好 相关 信息 后 , 单 击 “ 邻 居 信息 监控 ”标签 页 ,可 查看 获取 ge2 和 ge3 接口 
连接 路 由 的 OSPF 信息 ,如 图 5-33 所 示 。 


Ese ER JR bed Ee 
1242552591 和 Faleckup oooa0 Ttn6a1 uanazk16a2 
1252952551 1 Fasc ooooal 1 oil251792 


图 5-33 获得 的 OSPF 邻居 信息 


(39) 至 此 ,防火 墙 完成 基本 上 网 配置 。 


【实验 预期 】 

(1) 内 网 主机 可 正常 浏览 外 网 Web 服务 器 。 

(2) 配置 关键 字 组 后 ,通过 配置 安全 配置 文件 ,实现 对 内 网 访问 的 网 站 特定 内 容 的 过 
滤 , 以 及 阻 断 指定 类 型 文件 下 载 。 

(3) 配置 攻击 防护 策略 ,实现 对 外 网 攻击 的 防御 。 

(4) 配置 IP-MAC 绑 定 策略 ,对 内 网 主机 进行 扫描 ,获取 MAC 地 址 并 进行 绑 定 。 


【实验 结果 】 

1) 内 网 主机 访问 外 网 Web 服务 器 

(1) 登录 实验 平台 中 对 应 实验 拓扑 右 侧 上 方 的 Windows XP 虚拟 机 ,如 图 5-34 
所 示 。 

(2) 双击 桌面 的 火狐 浏览 器 快捷 图 标 ,运行 火狐 浏览 器 ,如 图 5-35 所 示 。 

(3) 在 地 址 栏 中 输入 74CMS Web 服务 器 的 IP 地 址 "110. 69. 70. 100”, 可 正常 显示 网 
页 内 容 。 如 图 5-36 所 示 。 

(4) 在 火狐 浏览 器 地 址 栏 中 输入 Eshop Web 服务 器 的 IP 地 址 120. 89. 90. 100”, 可 
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研发 部 网 段 : 172.16.2.9-172.16.2.99 


Web ge2: 124.16.8.2 
Ws (XY : 124.16.8.1 
ge4: 172.16.2.1 PC1: 172.16.2.50 
加 gel: 10.0.0.1 
FTP 服 务 器 NS 
oi CO 
攻击 机 : 10.79.80.110 Ree3: 125.17.9.2 
GW: 125.17.9.1 ”上 二 
屋 二 th 10004404 PC2: 172.16.2.150 
以 实 际 IP 地 址 为 ? 门 网 段 : 172.16.2.101-172.16.2.150 
Web 服 务 器 2: 120.89.90.100 (以 实际 IP 地 址 为 准 ) ”其 他 部 门 网 自 


图 5-34 登录 虚拟 机 (之 一 ) 


图 5-35 运行 


火狐 浏览 器 


国 骑士 Mie 高 应 人 才 系统 tm 


Re 0 110. 69.70.100 [IEE3 
欢迎 来 到 骑士 人 才 系 统 | 。 [ 苔 孙 | 。 [免费 注册 ] 保存 到 桌面 
其 加 ZN5 
招聘 信息 微 招聘 。 ”求职 信息 。 职工 具 箱 ”新 闻 资 讯 。 会 员 中 心 。 进入 论坛 
当前 位 置 ， 网 站 首页 
搜索 职位 企业 总 数 : 0 ”有效 职位 : 0” 有效 简 历 :0 ”会员 总 短 ; 0 
请 输入 职位 名 称 、 公 司 名 称 鼠 近 更 新 职位 写字 楼 搜索 职位 
热门 关键 字 ， 销售 代表 ”销售 经 理 会 计 销售 工程 师 销售 助理 造 路 搜索 职位 。“ 按 标牌 搜索 职位 
最 新 下 载 简 历 谁 下 载 了 我 的 简历 ? 马上 营 和 查看 。 ”本 周 热点 职位 更 多 


图 5-36 访问 Web 服务 器 之 一 


318 


eg 第 5 章 防火 墙 复杂 场 录 实践 mm 


正常 显示 网 页 内 容 ,如 图 5-37 所 示 。 


Ee Fs rs sr x 


上 | 和 
| 

网 麻 ESHOP 商 需 购 科 原 络 玖 | 

www.wqeshop.com 让 为首 页 | 收藏 | 9 物 车 | 简 | 和 | 闫 | | 

| 新 闻 中 心 | 帮助 中 心 | 留言 东 | 

| 

+ 网 奇 Eshop 5.5 了 版 隆 香 出 炉 a 

+ 网 奇 Eshop 5.5 版 隆重 出 炉 < 0 

+ 网 南 Eshop 5.5 杠 隆重 出 咏 "Sash 

+ 网 而 Eshop 5.5 相 隆重 出 坊 Lent 

+ 网 页 Eshop 5 5 胜出 人 ~- 玉生 外 

+ 网 而 Eshop 5 5 隆昌 出 办 Le 机 | 章 更 子 人 

+ 网 而 Eshop 5.5 了 重出 纺 傅 介 册 克 | OUES5 新 东 包 


图 5-37 访问 Web 服务 器 之 二 


(5) 登录 实验 拓扑 右 侧 下 方 的 Windows XP 虚拟 机 ,如 图 5-38 所 示 。 


图 研发 部 网 段 : 172.16.2.9-172.16.2.99 
ge2: 124.16.8.2 


Web 1: 110.69.70.100, 
服务 器 NW: 124.16.8.1 


:172.16.2.50 


FTP 服 务 器 
DNS 服 务 器 
攻击 机 : 10.79.80.110 e3: 125.17.9.2 


和 角 一 一 ela a PC2: 172.16.2.150 
管理 机 : 10.0.0。 其 他 部 门 网 段 : 172.16.2.101-172.16.2.150 


Web 服 务 器 2: 120.89.90.100 (以 实际 IP 地 址 为 准 ) 
图 5-38 登录 虚拟 机 之 二 


(6) 在 虚拟 机 桌面 ,双击 桌面 的 火狐 浏览 器 快捷 图 标 ,运行 火狐 浏览 器 ,如 图 5-39 所 示 。 


图 5-39 运行 火狐 浏览 器 之 二 
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(7) 在 火狐 浏览 中 输入 74CMS 和 Eshop Web 服务 器 的 对 应 IP 地 址 ,可 正常 浏览 网 
页 ,如 图 5-40 和 图 5-41 所 示 。 


骑士 PP 高 端 人 才 系 统 re 


人 和) © us.m 0 C ||Q 搜索 


欢迎 来 到 骑士 人 才 系 统 ! 。 [登录 ] 。 [免费 注册 ] 保存 到 桌面 | 


内 2zor 人 


招聘 信息 。“ 微 招 聘 。 求职 信息 。 了 工具 箱 新闻 资 讯 。 会 员 中 心 。 进入 论坛 


当前 位 置 ， 网 站 首页 


搜索 职位 企业 总 故 : 0 ”有 效 职位 0 ”有 效 简历 ，0 会 员 总 舌 ; 0 

育 输 入 职位 和 名称 、 公 司 名 入 时 近 更 新 职位 。 写字 楼 搜索 职位 
热门 关键 宇 ， 销售 代表 ”销售 经 理 会 计 销售 工程 师 销售 助理 通路 搜索 器 位 按 标 怎 搜索 职位 
最 新 下 载 简 历 话 下 载 了 我 的 简历 ? 马上 至 东 坦 看 。。 本 周 热点 职位 更 多 


图 5-40 浏览 Web 网 站 之 一 


owe x 
(@) © i20.0%.% 1o0 IE ] 廊 | 自 # 人 加 三 
ee sewn 


网 奇 ESHOP 画 坊 购 物 系 统 开 
www.wqeshop.com 设 为 首页 | 收藏 天 | 购物 车 | 简 | 繁 | 奖 


| 商品 分 类 | 转 品 推荐 | 品 根 价 中 心 | 新 闻 中 心 | 帮助 中 心 | 


品牌 做 码 | 品 得 宗 电 | 时 尚美 食 | 早 意 新 举 | 们 如 礼服 | 热 硝 围攻 | 春 要 手 | 情侣 季 品 | 美的 新 如 | 昭 部 护理 | 祛 江 陆 三 | 保健 饮 签 | 过 和 次 装 


[osss 一 a 用 


+ 网 奇 Eshop 5.5 卫 隆重 出 纺 


+ 风雷 Eshop 55 卫 用 重出 如 。 | 商品 展示 一 遇 蜀 女 甘 -… 
+ 网 页 Eshop 5 .5 隆重 出 仿 oa ea 
+ 网 页 Eshop 5 .5 隆重 出 护 的 畏 屿 站 | 时尚 科 给 
+ 网 页 Eshop 5.54 险 重出 仿 人 
* 网 疝 Eshop 5.5 才 用 生出 天 0L 新 于 太 | 者 蛙 子 儿 
+ 网 霖 Eshop 5.5 械 隆重 出 纺 情 但 涛 品 | GUESS 新 软 包 


图 5-41 浏览 Web 网 站 之 二 


(8) 综 上 所 述 , 内 网 主机 的 研发 部 地 址 段 和 其 他 部 门 地 址 段 内 的 主机 均 可 正常 访问 
ge2 和 ge3 两 个 接口 外 连 的 外 网 Web 服务 器 网 站 ,满足 预期 要 求 。 

2) 配置 关键 字 组 和 安全 配置 文件 ,引用 安全 策略 实现 对 特定 文件 、 网 页 的 安全 防护 

(1) 返回 防火 墙 Web UI 界面 ,开始 设置 关键 字 组 .在 本 实验 中 ,以 防止 下 载 zip 类 型 
文件 和 浏览 网 站 页 面 中 包含 特定 关键 字 为 例 , 设 置 防火 墙 的 相关 规则 。 已 预先 在 防火 墙 
ge2 接口 连接 的 路 由 器 中 配置 FTP 服务 器 ,其 IP 地 址 为 “10. 79. 80. 110”, 后 续 下 载 步骤 
涉及 下 载 时 以 此 FTP 服务 器 为 例 。 单 击 “ 对 象 配置 "一 “关键 字 组 ”, 显 示 当 前 的 关键 字 组 

320 


mn 第 5 章 防火 墙 复杂 场景 实践 mm 


列表 ,如 图 5-42 所 示 。 


分 析 中 心 。 ”数据 中 心 。 ”处 置 中 心 


= sh 关键 字 组 预定 义 关键 字 组 
由 [于 症 ] [这] [GC 记 ][ 玉 芭 


地 址 组 中 名称 


服务 器 地 址 
VPN 地 址 池 
[民国 家 /地 区 
得 服务 < 
跻 应 用 《 


时 间 


图 5-42 “关键 字 组 ”标签 页 


(2) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 关键 字 组 ”界面 中 ,在 “名 称 ” 中 输入 “网 页 敏 
感 字 ”,“ 命 中 数 ” 保 留 默认 的 数字 1 ,表明 关键 字 组 内 关键 字 生 效 所 需要 命中 的 命中 数 , 数 
字 为 “1” 表 明 只 要 命中 一 次 就 生效 。“ 匹 配 条 件 ” 设 置 为 “只 要 有 1 个 关键 字 命 中 ” ,表明 只 
要 在 “ 自 定义 关键 字 列 表 ” 中 的 多 个 关键 字 中 命中 一 个 ,该 规则 就 生效 ,如 图 5-43 所 示 。 


添加 关键 字 组 四 | 
名 称 。 | 网 页 敏感 字 | 0-63 字 和 
命中 数 |1 | -100) 
条 件 | 只 要 有 1 个 关键 了 中 ~| 
自 定义 关键 字 列 表 
[Dg 9R 式 I 
设 有 记录 
(0-32 项 
[是 | 


图 5-43 ”添加 关键 字 组 


(3) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 自 定义 关键 字 ” 界 面 中 ,在 “名 称 ” 中 输入 “ 美 
肤 ”,“ 匹 配 模式 ”设置 为 “文本 ”“ 匹 配 串 ” 输 入 “ 美 肤 ”, 如 图 5-44 所 示 。 
(4) 确认 信息 无 误 后 , 单 击 “ 确 定 ” 按 钮 ,返回 “添加 关键 字 组 ”界面 ,检查 相关 规则 无 
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ET 


名 称 | 美 睦 
模式 | 文本 
P 配 率 | 美 鞭 


图 5-44 添加 自 定义 关键 字 


误 后 , 单 击 “ 确 定 ” 按 钮 ,如 图 5-45 所 示 。 


添加 关键 字 组 
名 称 | 网 站 敏感 字 * (1-63 字 禄 ) 
命中 数 1 (1-100) 
匹配 冬 件 | 只 要 有 1 个 关键 字 命 中 hg 
让 定义 关键 字 员 表 [十 语 加 ] [ 口 有 


(0-32 项 


图 5-45 查看 网 站 敏感 字 策 略 


(5) 单 击 “确定 ”按钮 后 ,返回 “关键 字 组 ”列表 ,可 查看 添加 的 “网 站 敏感 字 ” 对 象 信 
息 , 如 图 5-46 所 示 。 


关键 宁 组 ”预定 义 关键 字 组 


tim | (Dw [Cm (Be 人 
名 称 命中 数 
口 网 站 教 感 字 1 


5-46 ”关键 字 组 列表 


(6) 单 击 “ 关 键 字 组 ”界面 上 方 带 感叹 号 的 “提交 ?按钮 ,将 添加 的 关键 字 组 提交 防火 
墙 生效 , 单 击 “ 提 交 ” 按 钮 后 ,会 返回 “执行 成 功 ” 的 提示 信息 ,如 图 5-47、 图 5-48 和 
图 5-49 所 示 。 


关键 组 。 ”预定 义 关键 守 组 


[十 到][ 训 可 ]LC 昧 ][ 忆 二 
Dg 
口 网 站 吉 感 字 


图 5-47 单 击 “ 提 交 ” 按 钮 
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四 


[wz ] 


图 5-48 ”提示 是 否 提 交 


图 5-49 提交 成 功 提示 


(7) 设置 自 定 义 关 键 字 完成 后 ,配置 安全 配置 文件 ,用 于 后 续 策 略 配置 时 引用 。 单 击 
“对 象 配置 ”安全 配置 文件 ”。 根 据 前 述 定 义 ,分 别 在 “内 容 过 滤 ? 和 ”文件 过 滤 ? 中 设置 


对 象 。 


(8) 单 击 * 内 容 过 滤 ”, 显 示 当 前 的 文件 过 滤 对 象 列 表 , 如 图 5-50 所 示 。 


面板 数据 中 心 


分 析 中 心 


tet 内 容 过 让 


[+m ] [Dm ] (Cm | 
口 三 


[区 国家 /区 


但 服务 
足 应 用 


时 间 


漏洞 防护 
防 间 谋 软件 
URL 过 滤 


文件 过 让 


处 置 中 心 


图 5-50 ”内 容 过 滤 对 象 列表 


(9) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 内 容 过 滤 ” 界 面 中 
如 图 5-51 所 示 。 
(10) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 规则 ”界面 中 .在 


:在 “名 称 ” 中 输入 “网 站 ”， 


“名 称 "中 输入 “美容 "…“ 应 
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添加 内 容 过 束 x 
名 称 | 网 站 * (1-63 字 禄 ) 
搞 述 (0-127 字 穆 ) 
za [到 
名 称 | 加 用 | 关 诗 了 | 文件 类 型 | 区 Ia | 操作 | 
没有 记录 
(0-16 员 ) 


图 5-51 添加 内 容 过 滤 对 象 


用 ”设置 为 “全 部 ”,“ 关 键 字 ”设置 为 之 前 添加 的 “网 站 敏感 字 ”, 在 “文件 类 型 "中 单 击 *》”， 
将 左 侧 “ 可 选 " 列 表 中 类 型 全 部 选中 至 右 侧 “已 选 " 列 表 ,“ 方 向 ”设置 为 “双向 ”,“ 动 作 ” 设 置 
为 “ 阻 断 ”, 如 图 5-52 所 示 。 


x 
名 称 “| 美容 * (1-63 字 初 ] 
应 用 | FTP.HTTP,SMTP,POP3,IMAP,SMB,115 网 盘 |* 
关键 字 。 | 网 站 敏感 字 了 
文件 类 型 ”| 全 部 Y | | 请 给 入 查询 内 容 
可 选 已 迁 
html 二 
tt 
加。 
> |doc 
< lxs 
xlsx 
ppt 
ppte 
pdf - 
方向 | 双向 Y 
动作 ”| 阻 断 A 
确定 取消 


图 5-52 内容 过 滤 规 则 管理 


(11) 单 击 “ 确 定 ” 按 钮 .返回 “添加 内 容 过 滤 ” 界 面 ,如 图 5-53 所 示 。 
(12) 单 击 “ 添 加 ”按钮 ,返回 “内 容 过 滤 ” 列 表 界 面 ,可 查看 添加 的 “网 站 ”对 象 信息 ,如 
图 5-54 所 示 。 
(13) 继续 配置 文件 过 滤 规 则 。 单 击 “ 文 件 过 滤 ”, 显 示 当 前 文件 过 滤 对 象 列表 ,如 
图 5-55 所 示 。 
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审定 
添加 内 容 过 束 四 
名 称 “| 网 站 | (63 
搞 述 (0-127 字 特 


口 和 称 应 用 关键 字 文件 类 型 方向 “| 动人 | 操作 
Ds FTP, HTTP, SMTP, -。 网 站 敏感 字 html, bt doc, doc..， 双 向 阻 断 

共 1 条 
(0-16 现 


图 5-53 ”内容 过 滤 规 则 


Dg | 引用 


图 5-54 内容 过 滤 规 则 列表 


策略 配置 对 象 配置 


i Em 
= 文件 过 这 全 局 配置 


me [Fam | (De ] [Cm 


怒 服务 < 口 名 称 


吝 洞 防护 


防 间 谋 软件 


URL 过 滤 


图 5-55 文件 过 滤 对 象 列表 
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(14) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 文件 过 滤 ” 界 面 中 ,在 “名 称 ” 中 输入 “下 载 控 
制 ”, 如 图 5-56 所 示 。 


添加 文件 过 涉 新 
名 称 | 下 载 控制 0-63 字 和 
搞 述 {0-127 字 初 
WW [+n] (Cass] 


5-56 ”添加 文件 过 滤 对 象 


(15) 单 击 “ 十 添加 "按钮 ,在 弹出 的 “添加 规则 ”界面 中 ,在 “名 称 ” 中 输入 “压缩 文件 ”， 
“应 用 ”设置 为 ~FTP”,“ 文 件 类 型 "在 左 侧 * 可 选 ” 列 表 中 选择 zip, 单 击 “ 二 ”添加 到 右 侧 “已 
选 " 中 ,“ 方 向 ”设置 为 “双向 ”“ 动 作 ” 设 置 为 “ 阻 断 ”, 如 图 5-57 所 示 。 


< 


EDEL le 


图 5-57 配置 文件 过 滤 类 型 


(16) 单 击 “ 确 定 ” 按 钮 ,返回 “添加 文件 过 滤 ” 界 面 , 可 查看 添加 的 “压缩 文件 ”规则 ,如 
图 5-58 所 示 。 

(17) 单 击 “ 确 定 ” 按 钮 .返回 “文件 过 滤 ” 对 象 列 表 . 查 看 添加 的 “下 载 控制 ”对象 信 息 ， 
如 图 5-59 所 示 。 
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名 称 | 下 载 控制 ]: 0-63 字 各 

搞 述 | (0-127 字 稳 ) 
“we 
名 称 | 应 用 | 文件 类 型 | 区 
口 Ex 件 FP zip 双向 


(0-16 项 ) 


图 5-58 添加 文件 过 滤 


文件 过 让 全 局 配置 


3 


1 引用 
口 下 载 控制 0 


图 5-59 文件 过 滤 对 象 


(18) 配置 好 文件 过 滤 和 内 容 过 滤 后 ,需要 在 前 述 实验 步 又 的 基本 安全 策略 中 引用 。 
单 击 “ 策 略 配置 ”一 “安全 策略 ”, 显 示 之 前 添加 的 “内 网 访问 外 网 ”的 基本 安全 策略 ,如 
图 5-60 所 示 。 


策略 配置 对 象 配置 网 络 配置 
{ams 安全 第 四 见 全 第 咯 
is [+ ] [Saw ] (Da | (1m ] (swerm | (Cm 
国安 全 认证 < :OD ss 要 人 4 二 目的 安全 霸 亚 地 址 /地 区 | 目的 地 址 /地 区 
i 口 网 访问 外 网 @ous Buntust ss any 


图 5-60 ”安全 策略 列表 


(19) 单 击 “ 内 网 访问 外 网 ”策略 名 ,在 弹出 的 “编辑 安全 策略 ”界面 中 , 单 击 下 方 的 “高 
级 ”按钮 ,展开 高 级 选项 ,如 图 5-61 和 图 5-62 所 示 。 

(20) 在 “高 级 ”一 栏 中 ,“ 配 置 文件 类 型 "设置 为 “安全 配置 文件 ”, 此 时 会 展开 一 系列 
的 安全 防护 配置 供 选择 ,“ 内 容 过 滤 ” 设 置 为 “网站”, “文件 过 滤 ” 设 置 为 “下 载 控 制 ”, 如 
图 5-63 所 示 。 

(21) 单 击 “确定 按钮 ,返回 “安全 策略 ?列表 界面 ,此 时 注意 在 该 规则 一 行 右 侧 的 
“安全 配置 文件 ”一 列 中 ,会 显示 两 个 图 标 ,表明 引用 的 相关 的 安全 配置 文件 ,如 图 5-64 
所 示 。 
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编辑 安全 第 格 [器 | 
BH I < 
动人 图 7i 许 OR 〇 安全 连接 俩 削 
源 安 全 域 | trust ~ 
目的 安全 域 | untrust a 
源 用 户 。 | 请 选择 源 用 户 
源 地 址 /地 区 。 | 研发 部 地 址 段 其 地 部 门 地 址 段 
目的 地 址 /地 区 | any 
服务 |any 
应 用 |any 
来 自 属 道 。 | 请 渤 择 感 道 Y 
时 间 。 | 请 选择 时 间 总 
VIAN | 请 给 和 VLAN 
可 值 范围 0-4094 , 柯 式 : 1,3,5-10,12) 
流量 日 志 。 口 ] 会 话 开始 会 活 结 束 
” 


图 5-61 编辑 基本 安全 策略 


各 
[本 rm 是 es。 一 加 ~ 四 


^ 高 级 
配置 文件 类 型 ~--NONE-- YW 
长 连接 口 ] 启 用 
图 5-62 显示 高 级 选项 
^ 高级 
配置 文件 类 型 | 安全 配置 文件 
泌 泣 防护 
防 间谍 软件 
URL 过 小 
反 病 毒 
内 容 过 起 。 | 网 站 
文件 过 涉 。 | 下 载 控制 
邮件 过 涉 
行为 管控 
长 连接 启用 
图 5-63 ”安全 防护 配置 
| ame | nme 
[+am ][ Bsm [Dm |[ Ba |[ hmerm |[ Cam |] | 
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图 5-64 引用 安全 配置 文件 
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(22) 返回 实验 平台 对 应 实验 拓扑 , 单 击 右 侧 上 方 或 下 方 的 任意 一 个 虚拟 机 (PC1 或 
PC2) ,如 图 5-65 所 示 。 


十 研发 部 网 段 : 172.16.2.9-172.16.2.99 
ge2: 124.16.8.2 
Web 服 务 器 1: We El 
= ge4: 172.16.2.1 :172.16.2.50 
\@/ gel: 10.0.0.1 
FTP 服 务 器 [a 
DNS 服务 器 (xX) 
攻击 机 : 10.79.80.110 Ree3: 125.1792 
GW: 125.17.9.1 
PC2: 172.16.2.150 


管理 机 : 10.0.0.44/24 
Web 服 务 器 2: 120.89.90.100 (以 实际 JP 地 址 为 准 ) 


图 5-65 登录 Windows XP 虚拟 机 


其 他 部 门 网 段 : 172.16.2.101-172.16.2.150 


(23) 在 虚拟 机 中 运行 火狐 浏览 器 ,在 地 址 栏 中 输入 之 前 访问 的 “120. 89. 90. 100” 的 
IP 地 址 ,访问 该 Web 服务 器 ,可 发 现 该 网 站 页 面 无 法 正常 显示 ,如 图 5-66 所 示 。 


是 页 面 载 入 出 错 x 


(@) D 120. 6890.100/0eFwt sap je [Qs |] 人 禄 | 自 呈 全 三 


@) 连接 被 重 置 


载 入 页 面 时 与 服务 器 的 连接 被 重 置 。 

。 此 站 点 暂时 不 可 用 或 者 太 忙 。 请 稍 后 再 试 。 

。 如果 您 无 法 载 入 任何 页 面 ， 请 检查 您 瑟 算 机 的 网 络 连接 。 

。 如 果 您 的 计算 机 或 网 络 受到 防火 雯 或 者 代理 服务 器 的 保护 ， 请 确认 Firefox 已 被 授权 访问 网 络 。 


重 试 


5-66 访问 Web 服务 器 


(24) 由 于 该 网 站 页 面包 含 之 前 设置 的 “ 美 肤 ” 关 键 字 信息 ,按照 设置 的 “ 阻 断 ” 规 则 ， 
网 站 页 面 被 防火 墙 拦截 .因此 在 内 网 虚拟 机 中 无 法 显示 页 面 内 容 。 

(25) 在 虚拟 机 火狐 浏览 器 的 地 址 栏 中 ,输入 FTP 服务 器 的 IP 地 址 “10. 79. 80. 
110”, 格 式 为 “ftp: //10. 79. 80. 110”, 显 示 当 前 FTP 服务 器 中 的 文件 列表 ,如 图 5-67 
所 示 。 

(26) 单 击 其 中 的 download. zip 文件 ,尝试 下 载 该 文件 ,此 时 会 在 浏览 器 中 显示 一 段 
乱码 ,如 图 5-68 所 示 。 

(27) 此 时 右 击 火狐 浏览 器 上 方 蓝 色 部 分 ,在 弹出 的 菜单 中 选择 “菜单 栏 ”, 如 图 5-69 
所 示 。 
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时 ep in rs an 0/ 的 x 


€ $ID Apr//10.70.80.10 EES 个 | 白 县 会 


ftp://10.79. 80. 110/ 的 索引 


国 加 到 上 一 层 广 件 夫 
名 称 大 小 修改 时 间 
图:maos cir 1 下。 oT-10-30 16:05:00 


图 5-67 FTP 服务 器 文件 列表 


Stp:1110.79.60…/downlead zip X 


所 )」 Dttp //10.79.80.110/download rip Cia | 


过 构 湛 市 数 激 康 尽 涓 回 障 绚 财 另 铺 秽 册 寻 估 目 绎 覃 细 [file 提 lter] 镍 娃 畴 洽 现 凡 天 国 编 妓 包 6 回 
痛 停 治 绩 加 枉 璇 疯 从 绯 伴 贺 姓 哈 惕 钴 四 


5-68 浏览 器 显示 中 文 乱码 


ftp:7A10. 79. 80…/download zip % 
(€) © sp//10.79.80 110/aornlond xi | 。 恢复 关闭 的 标 答 页 UD 
菜单 栏 加 ) 
时 工具 本 到 ) 


芒 二 构 漠 惠 数 浜 废 尽 滑 加 简 强 财 另 铺 肛 编 寻 估 | 一 所 


福 信 济 六 过 术 璇 疯 仆 弹 芝 四 委 只 得 结 四 or 


图 5-69 选择 “菜单 栏 


(28) 在 火狐 浏览 嚣 上方 会 显示 出 菜单 栏 , 单 击 其 中 的 “查看 ”一 “文字 编码 ”> Uni- 
code, 将 文字 内 容 转换 为 Unicode 方式 显示 ,如 图 5-70 所 示 。 

(29) 浏览 器 中 显示 的 内 容 会 正常 显示 为 中 文 内 容 , 如 图 5-71 所 示 。 

(30) 可 见 下 载 zip 类 型 文件 时 ,由 于 此 前 设置 了 文件 过 滤 规 则 ,使 得 下 载 被 阻 断 。 

(31) 综 上 所 述 ,通过 设置 关键 字 和 文件 类 型 管理 ,使 得 含有 关键 字 信息 的 网 页 不 能 
显示 ,以 及 被 过 滤 的 文件 类 型 不 能 下 载 ,满足 预期 要 求 。 

3) 配置 攻击 防护 策略 ,实现 对 外 网 攻击 的 防御 

(1) 依次 单 击 “ 策 略 配置 ”安全 防护 ”一 攻击 防护 ”, 列 出 当前 的 攻击 防护 策略 列 
表 , 如 图 5-72 所 示 。 

(2) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 攻击 防护 ”界面 中 .“ 安 全 域 ”设置 为 untrust， 
即将 ge2 和 ge3 口 代表 的 外 网 加 入 untrust 安全 域 中 。 

(3) 配置 Flood 防护 策略 ,为 验证 有 效 性 ,警戒 值 设置 较 正 常 值 是 偏 低 。 设 置 “SYN 
Flood 处 理 ” 为 “丢弃 ”“ 警 戒 值 ”设置 为 100(100 人 使 用 的 网 络 建议 值 为 1000)。 设 置 
“ICMP Flood 处 理 ” 为 “警告 ",“ 警 戒 值 ”设置 为 50(100 人 使 用 的 网 络 建议 值 为 500)。 设 
置 “UDP Flood 处 理 ? 为 “警告 “警戒 值 ? 设 置 为 100(100 人 使 用 的 网 络 建议 值 为 1000)。 
设置 “IP Flood 处 理 ” 为 “丢弃 ”“ 警 戒 值 ”设置 为 50(100 人 使 用 的 网 络 建议 值 为 500) 。 
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文件 下 ”总 辕 记 ] 查看 加 


£tp://10. 79. 80 


附 卫 构 浠 利 业 
渗 伴 泊 绵 加 析 开 

Qindows) A) 
阿拉 伯 语 Cso) 

波 罗 的 语 QWindows) @) 
波 罗 的 语 CS0) 


日 语 Ghift_II5) 
日 语 so-2022-JP) 0D 


希腊 语 QWindows) G) 
希腊 语 (Ts0) 
西里 尔 字 母 QWindows) (C) 


西里 尔 字 母 QDI8-) 
西里 尔 字 母 GDI8-R) 


越南 语 人 
中 欧 Windows) 到 ) 
中 欧 Cs0) CD) 


Etp://10.79. 60""/download rip X 


(@)® | ety//10.79.80. 110/dornlosd zip 


该 文件 由 于 命中 了 网 关 的 过 滤 规 则 ，[file filter]， 内 容 已 被 过 滤 。 
如 有 疑问 请 联系 管理 员 。 


图 5-71 网 页 显示 内 容 


如 图 5-73 所 示 。 

(4) 配置 恶意 扫描 策略 。“ 禁 止 Tracert” 可 根据 实际 情况 选择 ,在 本 实验 中 为 勾 选 ， 
设置 “IP 地 址 扫描 攻击 处 理 ? 为 “警告 ",“ 警 戒 值 ?设置 为 100(100 人 使 用 的 网 络 建议 值 为 
1000), “端口 扫描 处 理 ” 设 置 为 “警告 ",“ 警 戒 值 ”为 100(100 人 使 用 的 网 络 建议 值 为 
1000) ,如 图 5-74 所 示 。 

(5) 配置 欺骗 防护 。 勾 选 *IP 欺骗 "和 “DHCP 监控 辅助 检查 ” 复 选 框 ,如 图 5-75 
所 示 。 

(6) 勾 选 “IP 欺骗 " 复 选 框 ,需要 配置 IP 安全 域 关联 ,此 部 分 等 待 添加 攻击 防护 策略 
完成 后 再 进行 设置 。 

(7) 配置 异常 包 攻 击 。 在 “异常 包 攻 击 ” 一 栏 中 ,选中 所 有 选项 ,如 图 5-76 所 示 。 

(8) 配置 ICMP 管控 策略 。 在 “ICMP 管控 ”一 栏 中 , 勾 选 所 有 复 选 框 ,如 图 5-77 
所 示 。 
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数据 中 心 。 ”处 置 中 心 


VY em 攻击 防护 IP 安 全 域 关联 
国 NAT 策 咯 [十 和 ] [Om ][Cm ] 
国 安全 认证 < 安全 域 Flood | 到 
图 SSl 解 客 策略 
间 ,p-MAc 绑 定 《 
回 Qos 
轩 黑白 名 单 
加 会 话 限制 
国 安全 防护 v 
攻击 防护 
局 域 网 广播 防护 
DHCP 监 控 信息 
图 5-72 攻击 防护 策略 列表 
| 
选择 安全 域 
安全 域 | untrust > 
Flood 
SYN Flood 处 理 。 | 丢弃 v| 守信 |100 * (1-50000 包 / 秒 ,0 表示 不 开启 ) 
ICMP Flood 处 理 | 警告 |] BR |50 * (1-50000 包 / 秒 ,0 表示 不 开启 ) 
UDP Flood 处 理 | 警告 v| “到 或 值 [100 * 01-50000 包 / 秒 , 0 表示 不 开启 ) 
IP Flood 处 理 | 丢弃 v| a 入 [50 * (1-50000 包 / 秒 ,0 表示 不 开启 ) 
图 5-73 配置 Flood 防护 策略 
恶意 扫描 
禁 上 上 Tracert ” 回 
IP 地 址 扫 摘 攻击 处 理 | 警告 v| BE |100 * (1-5000 窗 黎 /10 个 ,0 代表 不 开启 ) 
该 D 扫 搞 处 理 | 警告 v| Bx |100 > (1-5000 室 黎 /10 个 ，0 代 表 不 开启 ) 


图 5-74 配置 恶意 扫描 防护 策略 
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欺骗 防护 
1P 鞭 骗 配置 IP 安 全 域 关联 
DHCP 监 控 辅 助 检查 。 区 
图 5-75 配置 欺骗 防护 策略 
异常 包 攻击 
Ping of Death Teardrop 回 ipP 选 顺 加 TCP 别 党 ”加 
Smurf Fraggle 回 Land Winnuke 
DNS 异常 IP 分 片 ” 回 
图 5-76 配置 异常 包 攻击 策略 
ICMP 管 控 
人 禁止 KCMP 分 片 禁止 路 由 重 定向 报 文 禁止 不 可 达 报 文 禁止 超时 报 文 
ICMP 报 文大 小 限制 ” 思 。 |1040 * (28-65000) 


图 5-77 配置 ICMP 管控 策略 


(9) 配置 应 用 层 Flood 策略 。 在 “应 用 层 Flood” 一 栏 中 ,“DNS Flood 防护 动作 ”设置 
为 “普通 防护 ”“ 警 戒 值 ”设置 为 100(100 人 使 用 的 网 络 建议 值 为 1000),“HTTP Flood 
防护 动作 ”设置 为 “普通 防护 ”“ 警 戒 值 ”设置 为 100(100 人 使 用 的 网 络 建议 值 为 1000)， 
如 图 5-78 所 示 。 


应 用 层 Flood 


DNS Flood 防护 动作 * (1-50000 包 / 秒 ,0 表示 不 开启 ) 


HTTP Flood 防护 动作 * (1-50000 包 / 秒 ，0 表 示 不 开启 ) 


图 5-78 配置 应 用 层 Flood 策略 


(10) 配置 SYN Cookie 策略 。 在 “SYN Cookie” 一 栏 中 , 勾 选 “启用 ” 复 选 框 , “MSS” 
使 用 默认 的 1460 即 可 , 单 击 “ 确 定 ” 按 钮 ,如 图 5-79 所 示 。 


SYN Cookie 


启用 四 
Mss |1460 * (512-1460) 


wa | ms | 


图 5-79 配置 SYN Cookie 策 略 


(11) 配置 “攻击 防护 ”策略 完成 后 ,会 在 列表 中 显示 该 策略 内 容 ,如 图 5-80 所 示 。 


Wm Pea 

[Fu] (ow ](Cw] 

四 ea ae mr es or re mc 
em am me ape oe be > 


图 5-80 攻击 防护 策略 列表 
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(12) 此 时 需要 完成 第 6 步 中 提 到 的 “IP 安全 域 关联 "策略 配置 。 单 击 右 侧 的 “IP 安 
全 域 关 联 ”, 如 图 5-81 所 示 。 


面板 分 析 中 心 数据 中 心 处 置 中 心 策略 配置 


入 安全 第 6 攻击 防护 IP 安 全 域 关联 


a Mm [Fu] Em] [CW] 
国 安全 认证 《 口 ] 本 地 地 址 


图 ssL 解 这 策略 


间 ip-MAc 铸 定 


攻击 防护 


局 域 网 广播 防护 


DHCP 监 控 信 息 


图 5-81 “IP 安全 域 关联 "标签 页 


(13) 将 ge2、ge3 和 ge4 口 对 应 的 “124. 16. 8. 0”*125. 17. 9. 0”172. 16. 0.0” 三 个 网 
段 添 加 到 IP 安全 域 关联 中 。 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 IP 安全 域 关联 "界面 中 ， 
在 “本 地 地 址 ”中 输入 *124. 16. 8.0”, 在 “ 子 网 掩 码 ” 中 输入 “255. 255. 255. 0”, 将 “安全 域 ” 
设置 为 untrust, 将 ge2 口 对 应 的 IP 地 址 段 加 入 IP 安全 域 关 联 中 ,如 图 5-82 所 示 。 


编辑 IP 安 全 域 关联 四 


本 地 地 址 | 124.16.8.0 
子 网 捕 码 。 | 255.255.255.0 
安全 域 | untrust w 


图 5-82 添加 ge2 口 关联 


(14) 添加 ge3 口 IP 安全 域 关 联 。 再 次 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “编辑 IP 安全 域 
关联 ”界面 中 ,在 “本 地 地 址 ”中 输入 *125. 17. 9.0”, 在 “ 子 网 掩 码 ”中 输入 “255. 255. 255. 0”, 将 
“安全 域 ” 设 置 为 untrust, 如 图 5-83 所 示 。 

(15) 添加 ge4 口 IP 安全 域 关联 。 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “编辑 IP 安全 域 关 
联 ? 界 面 中 ,因为 内 网 是 划分 为 “172. 16. 2.0” 网 段 ,ge4 的 接口 设置 为 “172. 16. 2.1”, 所 以 
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本 地 地 址 ”| 125.17.90 国 
子 网 挤 码 | 255.255.255.0 上 
安全 域 | untrust v]- 


图 5-83 ”添加 ge3 口 关联 


在 “本 地 地 址 ”中 输入 “172. 16. 2.0”, 在 “ 子 网 掩 码 ” 中 输入 “255. 255. 255.0”, 将 “安全 域 ” 
设置 为 trust, 如 图 5-84 所 示 。 


图 5-84 添加 ge4 口 关联 


(16) 添加 ge2、ge3 和 ge4 口 的 IP 安 全域 关 联 后 ,在 “IP 安全 域 关联 ?列表 ,会 显示 相 
关 信 息 , 如 图 5-85 所 示 。 


攻击 防护 1P 安 全 柜 关 联 | 
口 本 地 地 址 了 | 安全 域 
口 2416.80 255.255.255.0 untrust 
口 ws190 255.255.255.0 trust 
口 7z1620 255.255.255.0 trust 


图 5-85 IP 安全 域 关联 列表 


(17) 返回 实验 平台 对 应 实验 拓扑 中 ,登录 左 侧 第 二 台 FTP 服务 器 ,该 台 服务 器 也 同 
时 作为 模拟 外 网 攻击 主机 ,如 图 5-86 所 示 。 


研发 部 网 段 : 172.16.2.9-172.16.2.99 


ge2: 124.16.8.2 


0 PC2: 172.16.2.150 
Sa 其 他 衣 : 172.16.2.101-172.16.2.150 
Web 服 务 器 2: 120.89.90.100 (以 实际 中 地 址 为 准 ) 。 其 他 部 门 网 段 


5-86 ”登录 模拟 攻击 机 
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(18) 进入 桌面 的 “实验 工具 ”文件 夹 ,运行 其 中 的 udpflooder. exe 程序 ,如 图 5-87 和 
图 5-88 所 示 。 


图 5-87 进入 “实验 工具 ”文件 夹 


d Settings\Adeinistrator\ 点 而 \ 实 验 工 具 =|Dx 
文件 篇 辑 世 ) 查看 QW) 收 豪 和 ) 工具 I) 帮助 人 0 下 2 
回报 - 刁 - 站 | 吕 扫 索 六 文 和 天 | 防 沪 XX 史 | 加 - 
瑞士 加 | c:\poconents snd Settines\Adninistrator\ 夏 面 \ 实 验 工具 


这 1 8 快捷 方式 2017-10-30 10:24 


人 Advaneed IF Scanner | A 
苞 Advaneed Port Scanner 1 节 快捷 方式 2017-10-30 10:26 入 
RICE exe, 133 区 ”应 用 程序 2014-12-13 13:09 入 
1,763 更 应 用 程序 2013-9-13 21:28 A 


图 5-88 运行 udp flooder 泛 洪 攻 击 工具 


(19) 在 攻击 软件 界面 中 ,Host 输入 防火 墙 ge2 对 外 的 IP 地 址 *124. 16. 8. 2”, Ports 
中 单 击 “ 十 ”按钮 ,在 弹出 的 Port 界面 中 ,输入 80, 如 图 5-89 所 示 。 

(20) 单 击 OK 按钮 ,添加 端口 完成 后 ,“Flood Type” 设置 为 UDP,“Packets/S” 设 置 为 
1000, 表 示 泛 洪 攻 击 类 型 为 UDP Flood, 攻 击 速率 为 1000 个 数据 包 每 秒 ,如 图 5-90 所 示 。 

(21) 设置 好 攻击 参数 后 , 单 击 下 方 的 Flood 按钮 ,开始 攻击 。 

(22) 返回 防火 墙 的 Web UI 界面 ,在 “面板 "页面 ,可 看 到 右上 方 威胁 事件 报警 信息 ， 
如 图 5-91 所 示 。 

(23) 单 击 右 上 方 黄色 报警 信息 下 方 的 “威胁 详情 ”, 跳 转 到 “威胁 日 志 ” 页 面 ,可 看 到 
当前 的 威胁 是 UDP flood 攻击 ,以 及 攻击 者 和 被 攻击 者 等 详细 信息 ,如 图 5-92 所 示 。 

(24) 返回 攻击 虚拟 机 FTP 服务 器 ,在 攻击 软件 界面 将 Flood Type 设置 为 ICMP, 如 
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Please enter a portto add 
[80 


Cr | ce | 


图 5-89 输入 攻击 参数 


图 5-90 选择 攻击 类 型 和 攻击 速率 


图 5-93 所 示 。 

(25) 再 次 返回 防火 墙 的 “数据 中 心 ”威胁 日 志 ”, 可 看 到 威胁 信息 中 增加 了 ICMP 
超大 包 的 威胁 信息 ,如 图 5-94 所 示 。 

(26) 以 UDP Flood 和 ICMP Flood 为 例 ,防火 墙 在 受到 外 网 泛 洪 攻击 后 , 设 定 的 防 
护 策略 生效 ,满足 预期 。 

(27) 返回 攻击 虚拟 机 , 单 击 攻 击 软件 中 的 Stop 按钮 ,停止 泛 洪 攻击 ,关闭 泛 洪 攻击 
软件 以 便 进行 后 续 实 验 。 
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图 5-92 威胁 详细 信息 


图 5-93 修改 攻击 类 型 
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图 5-94 ICMP Flood 攻击 威胁 


(28) 进入 外 网 攻击 虚拟 机 ,进入 桌面 的 “实验 工具 ”文件 夹 , 运 行 其 中 的 Advanced 
Port Scanner 软件 ,如 图 5-95 所 示 。 


2017-10-30 10:24 
2017-10-30 10:26 
2014-12-13 13:09 


A 
A 
A 
2013-9-13 21:28 入 


5-95 ”运行 端口 扫描 软件 


(29) 在 软件 界面 的 地 址 栏 中 输入 ge2 口 所 在 的 IP 地 址 段 “124. 16. 8. 1-124. 16. 8. 
254”, 端 口 栏 保 留 默认 的 “知名 TCP 端口 1-1023”, 如 图 5-96 所 示 。 


5-96 设置 扫描 端口 参数 


(30) 单 击 “ 扫 描 ” 按 钮 ,开始 扫描 端口 ,扫描 软件 界面 会 显示 扫描 结果 ,可 见 扫描 出 路 
由 器 和 防火 墙 的 相关 信息 ,如 图 5-97 所 示 。 
(31) 等 待 端口 扫描 运行 一 段 时 间 后 ,再 登录 防火 墙 Web UI 界面 ,可 见 右上 方 的 威 
胁 数 量 增加 。 单 击 “ 数 据 中 心 *>> “威胁 日 志 ”, 可 查看 新 增 端口 扫描 的 威胁 信息 ,如 
图 5-98 所 示 。 
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文件 四 操作 人 设置 G) 查看 WW 帮助 吕 


> ss ||| Pc EE 
Jil6sl- Il6sz Jeicegor3 


结果 上 路基 到 | 


里 124.16.…”124.16.6.1 
124.16.8.2 


124. 16. 8. 2 
操作 系统 : 
IP 


124.16.… 


124.16.8.2 
MAC: 

NetBIOS: 

用 
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EE 


5-98 ”端口 扫描 威胁 


(32) 再 次 进入 攻击 虚拟 机 ,进入 桌面 的 “实验 工具 ”文件 夹 ,运行 LOIC 软件 ,开始 


HTTP Flood 攻击 ,如 图 5-99 所 示 。 
(33) 在 软件 界面 的 IP 中 输入 IP 地 址 “124. 16. 8. 1”, 并 单 击 右 侧 的 “Lock on” 按 钮 ， 


之 后 在 “Selected target” 中 会 显示 该 IP 地 址 ,如 图 5-100 所 示 。 
(34) 设置 攻击 参数 。 在 “Attack options” 一 栏 中 ,Method 选择 HTTP, 不 勾 选 “Wait 


for reply” 复 选 框 ,如 图 5-101 所 示 。 
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文件 下) 编辑) 查看 如 收 京 和 ) 工具 才 助 员 
四 FE -加 -人 | 用 需要 已 文人 天 | 访 沪 XX 史 | 回 - 
| 肝 直 | c:\pocoments ana settings\Adninistrator\ 点 面 \ 实 验 工 具 
g 称 ~ 天 TR 修改 日 其 
2 1 三 ”快捷 方式 2017-10-30 10.24 
Advanced Port Scanner 1 2B 快捷 方式 2017-10-30 10:26 
133 玛 “应 用 程序 2014-12-13 13:09 
1,763 阳 ”应 用 程序 2013-9-13 21:28 


图 5-99 进入 应 用 层 Flood 文件 夹 


rbit Ton Cannon | 


| IMMA CHARGIN MAH LAZER 


图 5-100 设置 攻击 主机 并 锁定 


Timeout HTTP Subsite 
9001 


图 5-101 配置 攻击 参数 


(35) 配置 攻击 目标 和 参数 后 , 单 击 软 件 右上 方 的 “IMMA CHARGIN MAE 
LAZER"” 按 钮 ,开始 攻击 ,在 软件 界面 下 方 会 显示 当前 攻击 状态 ,如 图 5-102 所 示 。 


T strikes and makes fails | w 下 


Praetox:com 


图 5-102 开始 攻击 
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(36) 登录 防火 墙 设备 , 单 击 “ 数 据 中心 ”>“ 威 胁 日 志 ”, 可 查看 新 增 的 威胁 信息 ,如 


图 5-103 所 示 。 
ee EE 
pm - pe Cr 
加 Eg a 
> 
.| a 世 二 
bs a ee ed 
= 一 二 豆 
Ey 二 口 
er 了 国 
ps 叶 
人 加 国 
EE] oe Ld 
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图 5-103 ”检测 出 SYN Flood 攻击 


(37) 返回 攻击 虚拟 机 ,在 LOIC 扫描 端口 软件 中 , 单 击 右上 方 的 “Stop flooding” 按 
钮 ,停止 HTTP Flood 攻击 。 

(38) 综 上 所 述 ,防火 墙 受 到 通过 设置 相关 的 安全 策略 ,攻击 防护 等 规则 后 ,可 以 在 外 
网 攻击 的 情况 下 按照 安全 策略 进行 对 应 处 置 , 满 足 预期 要 求 。 

4) 扫描 内 网 主机 并 配置 IP-MAC 绑 定 ,设置 未 绑 定 策略 

(1) 返回 防火 墙 Web UI 界 面 , 单 击 * 策 略 配置 ”一 “IP-MAC 绑 定 ” 一 " 绑 定 列表 ”, 显 
示 当 前 的 绑 定 列表 信息 .如 图 5-104 所 示 。 


面板 分 析 中 心 数据 中 心 处 置 中 心 策略 配置 


绑 定 列表 
图 rm [于 三] [5 可 ] [Ca 
国 安全 认证 < [DD] tipi 


图 5-104 ”IP-MAC 绑 定 列表 


(2) 防火 墙 提供 当前 活动 主机 的 探测 功能 , 单 击 “IP-MAC 绑 定 ”>“ 探 测 ”, 显 示 当 前 
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皆 空 的 设置 信息 ,如 图 5-105 所 示 。 


Ee] 可 
回 eu 下 DS 地址 / 子 阿 区 Mac 人 JEX RR mF 
# 2 
0° 
a oa Ee O01g3Le979se OOO 
oz lS oa Br EE OO = 
owens] ~ 。 人 oleae Gre 国王) e= 
3 oa Py oaakateeyefd 和 ma EB CT ee 
未 侯 定 第 下 
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图 5-105 ”探测 接口 列表 


(3) 在 实际 使 用 中 ,通常 是 对 内 网 主机 进行 IP-MAC 绑 定 ,在 本 实验 中 ,ge4 接口 作 
内 网 接口 ,因此 探测 主要 针对 ge4 接口 , 单 击 ge4 接口 一 行 右 侧 “ 操 作 ” 列 中 的 三 角 符 


00163Le9794 


001631e979fb 


oo0163le979fc 


001631e9794d 


图 5-106 运行 ge4 探测 功能 


(4) 在 弹出 的 “探测 ”界面 中 ,在 “起 始 IP” 中 输入 内 网 主机 的 开始 IP 地 址 “172. 16. 
2.1”, 即 ge4 接口 本 身 的 IP 地址 ,在 “结束 IP” 中 输入 内 网 主机 结束 的 IP 地 址 ,在 本 实验 
中 内 网 最 后 一 个 地 址 段 为 *172. 16. 2. 254”, 因 此 输入 的 IP 地 址 为 “172. 16. 2. 254”。 如 
图 5-107 所 示 。 


172.16.2.1 


172.16.2.254 


5-107 输入 探测 的 IP 地 址 范围 


(5) 确认 信息 无 误 后 , 单 击 “ 确 定 ” 按 钮 ,开始 探测 内 网 地 址 段 活 跃 主机 ,在 “探测 ” 界 
面 会 显示 当前 探测 进度 条 ,如 图 5-108 所 示 。 
(6) 探测 完成 后 , 单 击 ge4 接口 一 行 右 侧 “操作 ” 列 中 的 眼睛 形状 标志 ,查看 探测 结 
果 , 如 图 5-109 所 示 。 
(7) 在 弹出 的 “探测 结果 ”界面 中 ,可 查看 活跃 的 两 台 内 网 主机 ,如 图 5-110 所 示 。 
(8) 勾 选 “接口 名 称 ” 复 选 框 ,可 以 批量 选中 扫描 出 的 结果 ,随后 单 击 上 方 的 “批量 绑 
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到 ~| | 志和 二 向 吕 Qa 

接口 名 称 了 地 址 / 子 网 济 码 MAC 地 址 安全 域 工作 模式 探 江 齐 度 所 作 
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feB0-216:31 79fa/64 
124.16.8.2/255.2552550 579f EB CC om% ) 

wy eB0-216.31ffee9:79fb/64 00163legz 人 Buns @o 
72 CE | 

om Eas ooasaleg7efc [CR oo 

ge ne 01631e97914 Bt ED) 一 

图 5-108 ”探测 进度 条 
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探测 结果 x 
让 入 宇内 客 Q 
接口 名 称 |IP 地 址 MAC 地 址 安全 域 | 哇 定 状态 
口 ge4 172.16.2.50 02:89:e7:d3:37:d7 trust 未 卿 定 
口 ge4 172.16.2.150 02:1d:b2:04:21:c9 trust 未 卿 定 


MH 4 | 第 页 共 1 页 | 》 MH | 每 页 显示 条 短 | 2 


S 
< 


显示 1- 2， 共 2 条 


关闭 


图 5-110 ”探测 结果 


定 ? 按 钮 ,将 扫描 出 的 结果 进行 批量 绑 定 ,如 图 5-111 所 示 。 

(9) 单 击 “ 批 量 绑 定 ”按钮 后 ,会 弹出 确认 框 , 单 击 “ 确 认 ” 按 钮 即 可 ,如 图 5-112 所 示 。 

(10) 单 击 “ 确 认 ” 按 钮 后 ,返回 “探测 结果 ”界面 ,可 见 列表 右 侧 的 “ 绑 定 状 态 ” 已 变更 
为 “ 绑 定 ”, 如 图 5-113 所 示 。 

(11) 单 击 “ 关 闭 ” 按 钮 .完成 IP-MAC 的 绑 定 设置 ,可 单 击 “IP-MAC” 一 “ 绑 定 列表 ”， 
查看 当前 绑 定 的 所 有 信息 ,如 图 5-114 所 示 。 

(12) 继续 设置 未 绑 定 策略 . 单 击 “策略 配置 ?~~*IP-MAC 绑 定 ”>“ 未 绑 定 策略 ”, 显 
示 当 前 的 未 绑 定 策略 列表 .如 图 5-115 所 示 。 

(13) 单 击 “ 十 添加 ”按钮 ,在 弹出 的 “添加 未 绑 定 策略 ”界面 中 ,“ 安 全域 ”设置 为 
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请 给 入 查询 内 容 QI 


TP 地 址 MAC 地 址 | 安全 由 | 时 定 状态 
172.16.2.50 02:89:e7:d3:37:d7 trust 未 饰 定 
172.16.2.150 02:1d:b2:04:21:c9 trust 未 九 定 


图 5-111 进行 批量 绑 定 


图 5-112 ”确认 绑 定 


trust,“ 行 为 ”选中 “拒绝 ” 单 选 按钮 ,“IP 类 型 ?选中 IPv4 单 选 按钮 ,这 是 由 于 目前 常见 的 
网 络 中 使 用 的 卫 地 址 版 本 基本 均 为 IPv4 ,因此 设置 时 以 IPv4 举例 ,如 图 5-116 所 示 。 
(14) 单 击 “确定 ”按钮 ,返回 “未 绑 定 策略 ?列表 界面 ,可 查看 添加 的 策略 信息 ,如 
图 5-117 所 示 。 
(15) 综 上 所 述 ,通过 IP-MAC 探测 ,防火 墙 可 获取 内 网 主机 的 IP 地 址 与 MAC 地 
址 ,并 可 对 IP 地 址 与 MAC 地 址 进行 绑 定 ,对 未 绑 定 的 IP-MAC 实现 拒绝 访问 ,从 而 提高 
内 网 的 安全 性 ,满足 预期 要 求 。 
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探测 结果 四 
全 批 旦 绑 定 二 批量 清除 
接口 名 称 | IP 地 址 MAC 地 址 | 安全 二 
口 ge4 172.16.2.50 02:89:e7:d3:37:d7 trust 
口 ge4 172.16.2.150 02:1d:b2:04:21:c9 trust 
I 4 | 种 上 | 页 共 1 页 | 》 用 | 每 页 显示 条 效 | 20 ~ 显示 1-2, 共 2 条 
关闭 
图 5-113 绑 定 状态 
园 RE | 。 思 走 列表 
图 sepuRe +am | [Das |[Can ) FT 
i De ac 地 由 交 全 地 让 到 | 旺 作 
0926957 由 3747 nuit mo ’ 
74d52 0 27419 us ho ’ 
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安全 策略 
NAT 策 略 
安全 认证 
5SL 解 它 策 略 


炙 定 列表 
探测 


探 到 结果 


图 5-115 “未 绑 定 策略 ”标签 页 
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图 5-116 设置 未 绑 定 策略 


Fw | [Ow [Cw ] Pr a 
- 


Dm pe mu 如 7 


图 5-117 未 绑 定 策略 列表 
【实验 思考 】 


(1) 在 本 实验 中 防火 墙 是 否 可 以 实现 QoS 管理 ? 
(2) 为 进一步 提高 防火 墙 的 安全 防护 水 平 ,应 从 哪些 方面 进一步 细 化 防火 墙 的 设置 ? 
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